論文の概要: Revisiting Transferable Adversarial Image Examples: Attack
Categorization, Evaluation Guidelines, and New Insights
- arxiv url: http://arxiv.org/abs/2310.11850v1
- Date: Wed, 18 Oct 2023 10:06:42 GMT
- ステータス: 処理完了
- システム内更新日: 2023-10-19 17:09:25.479100
- Title: Revisiting Transferable Adversarial Image Examples: Attack
Categorization, Evaluation Guidelines, and New Insights
- Title(参考訳): 転送可能な敵対的イメージ例の再検討:攻撃分類、評価ガイドライン、新しい洞察
- Authors: Zhengyu Zhao, Hanwei Zhang, Renjue Li, Ronan Sicre, Laurent Amsaleg,
Michael Backes, Qi Li, Chao Shen
- Abstract要約: トランスファー可能な敵の例は、現実のブラックボックス攻撃シナリオにおいて重要なセキュリティ上の懸念を引き起こす。
本研究は,共通評価実践における2つの主要な問題点を明らかにするものである。
我々は、ImageNet上で転送可能な敵例を大規模に評価する。
- 参考スコア(独自算出の注目度): 30.14129637790446
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Transferable adversarial examples raise critical security concerns in
real-world, black-box attack scenarios. However, in this work, we identify two
main problems in common evaluation practices: (1) For attack transferability,
lack of systematic, one-to-one attack comparison and fair hyperparameter
settings. (2) For attack stealthiness, simply no comparisons. To address these
problems, we establish new evaluation guidelines by (1) proposing a novel
attack categorization strategy and conducting systematic and fair
intra-category analyses on transferability, and (2) considering diverse
imperceptibility metrics and finer-grained stealthiness characteristics from
the perspective of attack traceback. To this end, we provide the first
large-scale evaluation of transferable adversarial examples on ImageNet,
involving 23 representative attacks against 9 representative defenses. Our
evaluation leads to a number of new insights, including consensus-challenging
ones: (1) Under a fair attack hyperparameter setting, one early attack method,
DI, actually outperforms all the follow-up methods. (2) A state-of-the-art
defense, DiffPure, actually gives a false sense of (white-box) security since
it is indeed largely bypassed by our (black-box) transferable attacks. (3) Even
when all attacks are bounded by the same $L_p$ norm, they lead to dramatically
different stealthiness performance, which negatively correlates with their
transferability performance. Overall, our work demonstrates that existing
problematic evaluations have indeed caused misleading conclusions and missing
points, and as a result, hindered the assessment of the actual progress in this
field.
- Abstract(参考訳): トランスファー可能な敵の例は、現実のブラックボックス攻撃シナリオにおいて重要なセキュリティ上の懸念を引き起こす。
しかし,本研究では,(1)攻撃の伝達性,系統的,1対1の攻撃比較の欠如,および公平なハイパーパラメータ設定の2つの共通評価手法の問題点を明らかにする。
2)ステルスネス攻撃の場合、比較は行わない。
これらの課題に対処するため,(1)新規な攻撃分類戦略を提案し,トランスファービリティに関する系統的かつ公平なカテゴリー内分析を行い,(2)攻撃トレーサビリティの観点から,多様な認識不能指標とよりきめ細かい盗難特性を考慮することにより,新たな評価ガイドラインを確立する。
この目的のために,9つの代表的防御に対する23のの代表的攻撃を含む,転送可能な敵例をImageNet上で初めて大規模に評価した。
1) 公平な攻撃ハイパーパラメータ設定の下では、DIという1つの早期攻撃方法が、実際にはすべてのフォローアップメソッドよりも優れています。
2) 最先端のディフェンスであるDiffPureは、実際には(ブラックボックス)転送可能な攻撃によってほとんどバイパスされているので、(ホワイトボックス)セキュリティの誤った感覚を与えます。
3) すべての攻撃が同じ$l_p$ノルムで区切られている場合でも、ステルス性は劇的に異なり、転送性のパフォーマンスと負の相関がある。
本研究は,既存の問題点評価が誤解を招く結論と欠落点を実際に引き起こし,その結果,この分野における実際の進歩の評価を妨げていることを示した。
関連論文リスト
- Interpretability is a Kind of Safety: An Interpreter-based Ensemble for
Adversary Defense [28.398901783858005]
我々は,強固な防御敵に対するX-Ensembleと呼ばれるインタプリタベースのアンサンブルフレームワークを提案する。
X-エンサンブルはランダムフォレスト(RF)モデルを用いて、準検出器をアンサンブル検出器に結合し、敵のハイブリッド攻撃防御を行う。
論文 参考訳(メタデータ) (2023-04-14T04:32:06Z) - Generalizable Black-Box Adversarial Attack with Meta Learning [54.196613395045595]
ブラックボックス攻撃では、ターゲットモデルのパラメータが不明であり、攻撃者はクエリのフィードバックに基づいて、クエリの予算に基づいて摂動を成功させることを目指している。
本稿では,実例レベルの逆転可能性という,過去の攻撃に対するフィードバック情報を活用することを提案する。
この2種類の逆転送性を持つフレームワークは,市販のクエリベースのアタック手法と自然に組み合わせて性能を向上させることができる。
論文 参考訳(メタデータ) (2023-01-01T07:24:12Z) - Towards Good Practices in Evaluating Transfer Adversarial Attacks [23.40245805066479]
我々は、ImageNet上の9つの防御に対する23の代表的な攻撃を網羅し、転送攻撃の包括的評価を行った。
特に,既存の攻撃を5つのカテゴリに分類することを提案する。
また、さまざまな非受容性指標を採用し、よりきめ細かな特徴を探求することで、ステルスネスに特に注意を払っています。
論文 参考訳(メタデータ) (2022-11-17T14:40:31Z) - Zero-Query Transfer Attacks on Context-Aware Object Detectors [95.18656036716972]
敵は、ディープニューラルネットワークが誤った分類結果を生成するような摂動画像を攻撃する。
自然の多目的シーンに対する敵対的攻撃を防御するための有望なアプローチは、文脈整合性チェックを課すことである。
本稿では,コンテキスト整合性チェックを回避可能な,コンテキスト整合性攻撃を生成するための最初のアプローチを提案する。
論文 参考訳(メタデータ) (2022-03-29T04:33:06Z) - Adversarial Defense for Automatic Speaker Verification by
Self-Supervised Learning [101.42920161993455]
この研究は、特定の攻撃アルゴリズムを知らずにASVの敵防衛を行う最初の試みの一つである。
本研究の目的は,1) 対向摂動浄化と2) 対向摂動検出の2つの視点から対向防御を行うことである。
実験の結果, 検出モジュールは, 約80%の精度で対向検体を検出することにより, ASVを効果的に遮蔽することがわかった。
論文 参考訳(メタデータ) (2021-06-01T07:10:54Z) - Local Black-box Adversarial Attacks: A Query Efficient Approach [64.98246858117476]
アドリアックは、セキュリティに敏感なシナリオにおけるディープニューラルネットワークの適用を脅かしている。
ブラックボックス攻撃における限られたクエリ内でのみクリーンな例の識別領域を摂動させる新しいフレームワークを提案する。
攻撃成功率の高いブラックボックス摂動時のクエリ効率を大幅に改善できることを示すため,広範な実験を行った。
論文 参考訳(メタデータ) (2021-01-04T15:32:16Z) - Adversarial robustness via stochastic regularization of neural
activation sensitivity [24.02105949163359]
両防衛目標を同時に扱う新しい防衛機構を提案する。
損失面の勾配を平坦化し、逆例を見つけるのが難しくなる。
さらに、ジャコビアン正則化を利用して、正しく分類された入力から決定を遠ざける。
論文 参考訳(メタデータ) (2020-09-23T19:31:55Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z) - Reliable evaluation of adversarial robustness with an ensemble of
diverse parameter-free attacks [65.20660287833537]
本稿では,最適段差の大きさと目的関数の問題による障害を克服するPGD攻撃の2つの拡張を提案する。
そして、我々の新しい攻撃と2つの補完的な既存の攻撃を組み合わせることで、パラメータフリーで、計算に手頃な価格で、ユーザに依存しない攻撃のアンサンブルを形成し、敵の堅牢性をテストする。
論文 参考訳(メタデータ) (2020-03-03T18:15:55Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。