論文の概要: Revisiting Transferable Adversarial Image Examples: Attack
Categorization, Evaluation Guidelines, and New Insights
- arxiv url: http://arxiv.org/abs/2310.11850v1
- Date: Wed, 18 Oct 2023 10:06:42 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-19 17:09:25.479100
- Title: Revisiting Transferable Adversarial Image Examples: Attack
Categorization, Evaluation Guidelines, and New Insights
- Title(参考訳): 転送可能な敵対的イメージ例の再検討:攻撃分類、評価ガイドライン、新しい洞察
- Authors: Zhengyu Zhao, Hanwei Zhang, Renjue Li, Ronan Sicre, Laurent Amsaleg,
Michael Backes, Qi Li, Chao Shen
- Abstract要約: トランスファー可能な敵の例は、現実のブラックボックス攻撃シナリオにおいて重要なセキュリティ上の懸念を引き起こす。
本研究は,共通評価実践における2つの主要な問題点を明らかにするものである。
我々は、ImageNet上で転送可能な敵例を大規模に評価する。
- 参考スコア(独自算出の注目度): 30.14129637790446
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Transferable adversarial examples raise critical security concerns in
real-world, black-box attack scenarios. However, in this work, we identify two
main problems in common evaluation practices: (1) For attack transferability,
lack of systematic, one-to-one attack comparison and fair hyperparameter
settings. (2) For attack stealthiness, simply no comparisons. To address these
problems, we establish new evaluation guidelines by (1) proposing a novel
attack categorization strategy and conducting systematic and fair
intra-category analyses on transferability, and (2) considering diverse
imperceptibility metrics and finer-grained stealthiness characteristics from
the perspective of attack traceback. To this end, we provide the first
large-scale evaluation of transferable adversarial examples on ImageNet,
involving 23 representative attacks against 9 representative defenses. Our
evaluation leads to a number of new insights, including consensus-challenging
ones: (1) Under a fair attack hyperparameter setting, one early attack method,
DI, actually outperforms all the follow-up methods. (2) A state-of-the-art
defense, DiffPure, actually gives a false sense of (white-box) security since
it is indeed largely bypassed by our (black-box) transferable attacks. (3) Even
when all attacks are bounded by the same $L_p$ norm, they lead to dramatically
different stealthiness performance, which negatively correlates with their
transferability performance. Overall, our work demonstrates that existing
problematic evaluations have indeed caused misleading conclusions and missing
points, and as a result, hindered the assessment of the actual progress in this
field.
- Abstract(参考訳): トランスファー可能な敵の例は、現実のブラックボックス攻撃シナリオにおいて重要なセキュリティ上の懸念を引き起こす。
しかし,本研究では,(1)攻撃の伝達性,系統的,1対1の攻撃比較の欠如,および公平なハイパーパラメータ設定の2つの共通評価手法の問題点を明らかにする。
2)ステルスネス攻撃の場合、比較は行わない。
これらの課題に対処するため,(1)新規な攻撃分類戦略を提案し,トランスファービリティに関する系統的かつ公平なカテゴリー内分析を行い,(2)攻撃トレーサビリティの観点から,多様な認識不能指標とよりきめ細かい盗難特性を考慮することにより,新たな評価ガイドラインを確立する。
この目的のために,9つの代表的防御に対する23のの代表的攻撃を含む,転送可能な敵例をImageNet上で初めて大規模に評価した。
1) 公平な攻撃ハイパーパラメータ設定の下では、DIという1つの早期攻撃方法が、実際にはすべてのフォローアップメソッドよりも優れています。
2) 最先端のディフェンスであるDiffPureは、実際には(ブラックボックス)転送可能な攻撃によってほとんどバイパスされているので、(ホワイトボックス)セキュリティの誤った感覚を与えます。
3) すべての攻撃が同じ$l_p$ノルムで区切られている場合でも、ステルス性は劇的に異なり、転送性のパフォーマンスと負の相関がある。
本研究は,既存の問題点評価が誤解を招く結論と欠落点を実際に引き起こし,その結果,この分野における実際の進歩の評価を妨げていることを示した。
関連論文リスト
- Meta Invariance Defense Towards Generalizable Robustness to Unknown Adversarial Attacks [62.036798488144306]
現在の防衛は主に既知の攻撃に焦点を当てているが、未知の攻撃に対する敵意の強固さは見過ごされている。
メタ不変防衛(Meta Invariance Defense, MID)と呼ばれる攻撃非依存の防御手法を提案する。
MIDは高レベルの画像分類と低レベルの頑健な画像再生における攻撃抑制において,知覚不能な逆方向の摂動に対して同時に頑健性を実現する。
論文 参考訳(メタデータ) (2024-04-04T10:10:38Z) - Towards Good Practices in Evaluating Transfer Adversarial Attacks [23.40245805066479]
我々は、ImageNet上の9つの防御に対する23の代表的な攻撃を網羅し、転送攻撃の包括的評価を行った。
特に,既存の攻撃を5つのカテゴリに分類することを提案する。
また、さまざまな非受容性指標を採用し、よりきめ細かな特徴を探求することで、ステルスネスに特に注意を払っています。
論文 参考訳(メタデータ) (2022-11-17T14:40:31Z) - Transferability Ranking of Adversarial Examples [20.41013432717447]
本稿では,転送攻撃処理を洗練させるランキング戦略を提案する。
多様な代理モデルの集合を利用することで, 逆例の転送可能性を予測することができる。
提案手法を用いて, 対向例の移動率を, ランダムな選択から, ほぼ上界レベルまで20%に引き上げることができた。
論文 参考訳(メタデータ) (2022-08-23T11:25:16Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - Improving the Adversarial Robustness for Speaker Verification by Self-Supervised Learning [95.60856995067083]
この研究は、特定の攻撃アルゴリズムを知らずにASVの敵防衛を行う最初の試みの一つである。
本研究の目的は,1) 対向摂動浄化と2) 対向摂動検出の2つの視点から対向防御を行うことである。
実験の結果, 検出モジュールは, 約80%の精度で対向検体を検出することにより, ASVを効果的に遮蔽することがわかった。
論文 参考訳(メタデータ) (2021-06-01T07:10:54Z) - Local Black-box Adversarial Attacks: A Query Efficient Approach [64.98246858117476]
アドリアックは、セキュリティに敏感なシナリオにおけるディープニューラルネットワークの適用を脅かしている。
ブラックボックス攻撃における限られたクエリ内でのみクリーンな例の識別領域を摂動させる新しいフレームワークを提案する。
攻撃成功率の高いブラックボックス摂動時のクエリ効率を大幅に改善できることを示すため,広範な実験を行った。
論文 参考訳(メタデータ) (2021-01-04T15:32:16Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z) - Reliable evaluation of adversarial robustness with an ensemble of
diverse parameter-free attacks [65.20660287833537]
本稿では,最適段差の大きさと目的関数の問題による障害を克服するPGD攻撃の2つの拡張を提案する。
そして、我々の新しい攻撃と2つの補完的な既存の攻撃を組み合わせることで、パラメータフリーで、計算に手頃な価格で、ユーザに依存しない攻撃のアンサンブルを形成し、敵の堅牢性をテストする。
論文 参考訳(メタデータ) (2020-03-03T18:15:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。