論文の概要: Trainwreck: A damaging adversarial attack on image classifiers
- arxiv url: http://arxiv.org/abs/2311.14772v1
- Date: Fri, 24 Nov 2023 13:37:19 GMT
- ステータス: 処理完了
- システム内更新日: 2023-11-30 09:39:38.815612
- Title: Trainwreck: A damaging adversarial attack on image classifiers
- Title(参考訳): trainwreck: 画像分類器に対する敵対的な攻撃
- Authors: Jan Zah\'alka
- Abstract要約: アドリアックはコンピュータビジョン(CV)モデルにとって重要なセキュリティ上の問題である。
CVモデルは応用実践においてますます価値ある資産となりつつあり、新たな攻撃ベクトルが出現しつつある。
本稿では,画像分類器の訓練データに悪影響を及ぼし,その性能を低下させるTrawreckを提案する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Adversarial attacks are an important security concern for computer vision
(CV), as they enable malicious attackers to reliably manipulate CV models.
Existing attacks aim to elicit an output desired by the attacker, but keep the
model fully intact on clean data. With CV models becoming increasingly valuable
assets in applied practice, a new attack vector is emerging: disrupting the
models as a form of economic sabotage. This paper opens up the exploration of
damaging adversarial attacks (DAAs) that seek to damage the target model and
maximize the total cost incurred by the damage. As a pioneer DAA, this paper
proposes Trainwreck, a train-time attack that poisons the training data of
image classifiers to degrade their performance. Trainwreck conflates the data
of similar classes using stealthy ($\epsilon \leq 8/255$) class-pair universal
perturbations computed using a surrogate model. Trainwreck is a black-box,
transferable attack: it requires no knowledge of the target model's
architecture, and a single poisoned dataset degrades the performance of any
model trained on it. The experimental evaluation on CIFAR-10 and CIFAR-100
demonstrates that Trainwreck is indeed an effective attack across various model
architectures including EfficientNetV2, ResNeXt-101, and a finetuned ViT-L-16.
The strength of the attack can be customized by the poison rate parameter.
Finally, data redundancy with file hashing and/or pixel difference are
identified as a reliable defense technique against Trainwreck or similar DAAs.
The code is available at https://github.com/JanZahalka/trainwreck.
- Abstract(参考訳): 敵攻撃はコンピュータビジョン(CV)にとって重要なセキュリティ上の問題であり、悪意のある攻撃者が確実にCVモデルを操作できるようにする。
既存の攻撃は、攻撃者が望む出力を引き出すことを目的としているが、モデルを完全にクリーンなデータに保持する。
CVモデルは応用実践においてますます価値ある資産となりつつあり、新たな攻撃ベクトルが出現しつつある。
本稿は,対象モデルにダメージを与え,被害による総コストを最大化しようとする攻撃的攻撃(daas)の探索について述べる。
本稿では, DAAの先駆者として, 画像分類器の訓練データに悪影響を及ぼし, 性能を低下させるTrawreckを提案する。
Trainwreckは、Spirthy(\epsilon \leq 8/255$)クラスペアの普遍摂動を用いて、同様のクラスのデータを膨らませる。
Trainwreckはブラックボックスで転送可能な攻撃で、ターゲットモデルのアーキテクチャに関する知識を必要とせず、単一の有毒データセットがトレーニングされたモデルのパフォーマンスを劣化させる。
CIFAR-10とCIFAR-100の実験的な評価により、TrawreckはEfficientNetV2、ResNeXt-101、微調整されたViT-L-16など、様々なモデルアーキテクチャにおける効果的な攻撃であることが示された。
攻撃の強さは、毒率パラメータによってカスタマイズできる。
最後に、ファイルハッシュおよび/または画素差を伴うデータ冗長性を、Trawreckや他のDAAに対する信頼性の高い防御技術として同定する。
コードはhttps://github.com/janzahalka/trainwreckで入手できる。
関連論文リスト
- Fault Injection and Safe-Error Attack for Extraction of Embedded Neural
Network Models [1.3654846342364308]
モノのインターネット(IoT)における32ビットマイクロコントローラの組み込みディープニューラルネットワークモデルに焦点をあてる。
攻撃を成功させるためのブラックボックス手法を提案する。
古典的畳み込みニューラルネットワークでは、1500個の入力で最も重要なビットの少なくとも90%を回復することに成功した。
論文 参考訳(メタデータ) (2023-08-31T13:09:33Z) - Isolation and Induction: Training Robust Deep Neural Networks against
Model Stealing Attacks [51.51023951695014]
既存のモデル盗難防衛は、被害者の後部確率に偽りの摂動を加え、攻撃者を誤解させる。
本稿では,モデルステルス防衛のための新規かつ効果的なトレーニングフレームワークである分離誘導(InI)を提案する。
モデルの精度を損なうモデル予測に摂動を加えるのとは対照的に、我々はモデルを訓練して、盗むクエリに対して非形式的なアウトプットを生成する。
論文 参考訳(メタデータ) (2023-08-02T05:54:01Z) - A Plot is Worth a Thousand Words: Model Information Stealing Attacks via
Scientific Plots [14.998272283348152]
敵がターゲットのMLモデルの出力を利用してモデルの情報を盗むことはよく知られている。
我々は、モデル情報盗難攻撃、すなわちモデルの科学的プロットのための新しいサイドチャネルを提案する。
論文 参考訳(メタデータ) (2023-02-23T12:57:34Z) - Get a Model! Model Hijacking Attack Against Machine Learning Models [30.346469782056406]
本稿では,コンピュータビジョンに基づく機械学習モデル,すなわちモデルハイジャック攻撃に対する新たなトレーニング時間攻撃を提案する。
相手はターゲットモデルをハイジャックして、モデル所有者が気づかずに別のタスクを実行することを目的としている。
以上の結果から,2つのモデルハイジャック攻撃が,モデルユーティリティの低下により,高い攻撃成功率を達成できたことが示唆された。
論文 参考訳(メタデータ) (2021-11-08T11:30:50Z) - Adversarial Attack across Datasets [98.13178217557193]
Deep Neural Networks(DNN)は、クエリフリーのブラックボックス設定での攻撃の転送に対して脆弱である。
本稿では,任意のデータセットから出現した画像の分類情報を消去する画像分類消去装置(ICE)を提案する。
論文 参考訳(メタデータ) (2021-10-13T02:07:40Z) - How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。
本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。
我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
論文 参考訳(メタデータ) (2020-12-02T15:30:21Z) - Learning to Attack: Towards Textual Adversarial Attacking in Real-world
Situations [81.82518920087175]
敵攻撃は、敵の例でディープニューラルネットワークを騙すことを目的としている。
本稿では、攻撃履歴から学習し、より効率的に攻撃を開始することができる強化学習に基づく攻撃モデルを提案する。
論文 参考訳(メタデータ) (2020-09-19T09:12:24Z) - Towards Class-Oriented Poisoning Attacks Against Neural Networks [1.14219428942199]
機械学習システムに対する攻撃は、トレーニングデータセットに悪意のあるサンプルを意図的に注入することで、モデルのパフォーマンスを損なう。
そこで本研究では, 破損したモデルに対して, 2つの特定の予測を強制的に行うクラス指向中毒攻撃を提案する。
逆効果の最大化と、有毒なデータ生成の計算複雑性の低減を図るため、勾配に基づくフレームワークを提案する。
論文 参考訳(メタデータ) (2020-07-31T19:27:37Z) - Defense for Black-box Attacks on Anti-spoofing Models by Self-Supervised
Learning [71.17774313301753]
本研究では,自己指導型高水準表現の堅牢性について,敵攻撃に対する防御に利用して検討する。
ASVspoof 2019データセットの実験結果は、Mockingjayによって抽出されたハイレベルな表現が、敵の例の転送可能性を妨げることを示した。
論文 参考訳(メタデータ) (2020-06-05T03:03:06Z) - Adversarial Imitation Attack [63.76805962712481]
現実的な敵攻撃は、攻撃されたモデルの知識をできるだけ少なくする必要がある。
現在の代替攻撃では、敵の例を生成するために事前訓練されたモデルが必要である。
本研究では,新たな敵模倣攻撃を提案する。
論文 参考訳(メタデータ) (2020-03-28T10:02:49Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。