論文の概要: SoK: Pitfalls in Evaluating Black-Box Attacks
- arxiv url: http://arxiv.org/abs/2310.17534v2
- Date: Wed, 14 Feb 2024 13:56:37 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-15 19:37:07.764216
- Title: SoK: Pitfalls in Evaluating Black-Box Attacks
- Title(参考訳): SoK:ブラックボックス攻撃の評価における落とし穴
- Authors: Fnu Suya, Anshuman Suri, Tingwei Zhang, Jingtao Hong, Yuan Tian, David
Evans
- Abstract要約: 本稿では,フィードバックの粒度の軸,対話型クエリのアクセス,攻撃者が利用できる補助データの品質と量にまたがる脅威空間に関する分類法を提案する。
私たちの新しい分類は3つの重要な洞察を与えます。
- 参考スコア(独自算出の注目度): 12.152882005660055
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Numerous works study black-box attacks on image classifiers. However, these
works make different assumptions on the adversary's knowledge and current
literature lacks a cohesive organization centered around the threat model. To
systematize knowledge in this area, we propose a taxonomy over the threat space
spanning the axes of feedback granularity, the access of interactive queries,
and the quality and quantity of the auxiliary data available to the attacker.
Our new taxonomy provides three key insights. 1) Despite extensive literature,
numerous under-explored threat spaces exist, which cannot be trivially solved
by adapting techniques from well-explored settings. We demonstrate this by
establishing a new state-of-the-art in the less-studied setting of access to
top-k confidence scores by adapting techniques from well-explored settings of
accessing the complete confidence vector, but show how it still falls short of
the more restrictive setting that only obtains the prediction label,
highlighting the need for more research. 2) Identification the threat model of
different attacks uncovers stronger baselines that challenge prior
state-of-the-art claims. We demonstrate this by enhancing an initially weaker
baseline (under interactive query access) via surrogate models, effectively
overturning claims in the respective paper. 3) Our taxonomy reveals
interactions between attacker knowledge that connect well to related areas,
such as model inversion and extraction attacks. We discuss how advances in
other areas can enable potentially stronger black-box attacks. Finally, we
emphasize the need for a more realistic assessment of attack success by
factoring in local attack runtime. This approach reveals the potential for
certain attacks to achieve notably higher success rates and the need to
evaluate attacks in diverse and harder settings, highlighting the need for
better selection criteria.
- Abstract(参考訳): 多くの研究が画像分類器のブラックボックス攻撃を研究している。
しかし、これらの著作は敵の知識に異なる仮定をしており、現在の文献には脅威モデルを中心とした結束した組織が欠けている。
この領域の知識を体系化するために,フィードバック粒度の軸,対話的クエリへのアクセス,攻撃者が利用可能な補助データの品質と量にまたがる脅威空間に関する分類法を提案する。
私たちの新しい分類は3つの重要な洞察を提供する。
1) 広範囲にわたる文献に拘わらず,未調査の脅威空間は数多く存在するが,十分に検討された状況から手法を適用することでは容易に解決できない。
我々は、完全な信頼度ベクトルにアクセスするための十分に検討された設定から技術を適応させることにより、トップk信頼度スコアへのアクセスをあまり意識しない設定で新たな最先端を確立し、予測ラベルのみを取得するより制限的な設定にまだ不足していることを示し、さらなる研究の必要性を強調する。
2) 異なる攻撃の脅威モデルを特定することで, 先行の最先端の主張に挑戦する強力なベースラインが明らかになる。
本稿では,当初より弱いベースライン(対話型クエリアクセス)をサロゲートモデルにより拡張し,各論文のクレームを効果的にオーバーターンすることでこれを実証する。
3)本分類は,モデルインバージョンや抽出攻撃といった関連分野とよく結びつく攻撃的知識間の相互作用を明らかにする。
我々は、他の領域の進歩が潜在的に強力なブラックボックス攻撃を可能にする方法について論じる。
最後に,ローカルアタック実行時のファクタリングによる攻撃成功のより現実的な評価の必要性を強調した。
このアプローチは、特定の攻撃が著しく高い成功率を達成する可能性を示し、多様で難しい設定で攻撃を評価する必要性を示し、より良い選択基準の必要性を強調している。
関連論文リスト
- Multi-granular Adversarial Attacks against Black-box Neural Ranking Models [111.58315434849047]
多粒性摂動を取り入れた高品質な逆数例を作成する。
我々は,多粒体攻撃を逐次的意思決定プロセスに変換する。
本手法は,攻撃の有効性と非受容性の両方において,一般的なベースラインを超えている。
論文 参考訳(メタデータ) (2024-04-02T02:08:29Z) - Mutual-modality Adversarial Attack with Semantic Perturbation [81.66172089175346]
本稿では,相互モダリティ最適化スキームにおける敵攻撃を生成する新しい手法を提案する。
我々の手法は最先端の攻撃方法より優れており、プラグイン・アンド・プレイ・ソリューションとして容易にデプロイできる。
論文 参考訳(メタデータ) (2023-12-20T05:06:01Z) - Adversarial Attacks and Defenses in Machine Learning-Powered Networks: A
Contemporary Survey [114.17568992164303]
機械学習とディープニューラルネットワークにおけるアドリアックと防御が注目されている。
本調査は、敵攻撃・防衛技術分野における最近の進歩を包括的に概観する。
検索ベース、意思決定ベース、ドロップベース、物理世界攻撃など、新たな攻撃方法も検討されている。
論文 参考訳(メタデータ) (2023-03-11T04:19:31Z) - Understanding the Vulnerability of Skeleton-based Human Activity Recognition via Black-box Attack [53.032801921915436]
HAR(Human Activity Recognition)は、自動運転車など、幅広い用途に採用されている。
近年,敵対的攻撃に対する脆弱性から,骨格型HAR法の堅牢性に疑問が呈されている。
攻撃者がモデルの入出力しかアクセスできない場合でも、そのような脅威が存在することを示す。
BASARと呼ばれる骨格をベースとしたHARにおいて,最初のブラックボックス攻撃手法を提案する。
論文 参考訳(メタデータ) (2022-11-21T09:51:28Z) - The Space of Adversarial Strategies [6.295859509997257]
機械学習モデルにおける最悪のケース動作を誘発するインプットである逆例は、過去10年間に広く研究されてきた。
最悪の場合(すなわち最適な)敵を特徴づける体系的なアプローチを提案する。
論文 参考訳(メタデータ) (2022-09-09T20:53:11Z) - Adversarial Robustness of Deep Reinforcement Learning based Dynamic
Recommender Systems [50.758281304737444]
本稿では,強化学習に基づく対話型レコメンデーションシステムにおける敵例の探索と攻撃検出を提案する。
まず、入力に摂動を加え、カジュアルな要因に介入することで、異なる種類の逆例を作成する。
そこで,本研究では,人工データに基づく深層学習に基づく分類器による潜在的攻撃を検出することにより,推薦システムを強化した。
論文 参考訳(メタデータ) (2021-12-02T04:12:24Z) - Local Black-box Adversarial Attacks: A Query Efficient Approach [64.98246858117476]
アドリアックは、セキュリティに敏感なシナリオにおけるディープニューラルネットワークの適用を脅かしている。
ブラックボックス攻撃における限られたクエリ内でのみクリーンな例の識別領域を摂動させる新しいフレームワークを提案する。
攻撃成功率の高いブラックボックス摂動時のクエリ効率を大幅に改善できることを示すため,広範な実験を行った。
論文 参考訳(メタデータ) (2021-01-04T15:32:16Z) - Characterizing the Evasion Attackability of Multi-label Classifiers [37.00606062677375]
マルチラベル学習システムにおける脱出攻撃は、興味深いが、広く目撃されているが、まれな研究トピックである。
マルチラベルの敵対的脅威の攻撃可能性を決定する重要な要因を特徴づけることが、脆弱性の起源を解釈する鍵である。
グラディラベル空間探索による効率的な経験的攻撃性推定器を提案する。
論文 参考訳(メタデータ) (2020-12-17T07:34:40Z) - Unknown Presentation Attack Detection against Rational Attackers [6.351869353952288]
プレゼンテーション攻撃検出とマルチメディア法医学は、まだ実生活環境での攻撃に対して脆弱である。
既存のソリューションの課題には、未知の攻撃の検出、敵の設定での実行能力、数発の学習、説明可能性などがある。
新たな最適化基準が提案され,実環境におけるこれらのシステムの性能向上のための要件が定義されている。
論文 参考訳(メタデータ) (2020-10-04T14:37:10Z) - Revisiting Adversarially Learned Injection Attacks Against Recommender
Systems [6.920518936054493]
本稿では,逆学習型インジェクションアタック問題を再考する。
我々は、最適化問題として偽ユーザーを生成するための正確な解決策が、はるかに大きな影響をもたらすことを示している。
論文 参考訳(メタデータ) (2020-08-11T17:30:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。