論文の概要: A Curious Case of Remarkable Resilience to Gradient Attacks via Fully
Convolutional and Differentiable Front End with a Skip Connection
- arxiv url: http://arxiv.org/abs/2402.17018v1
- Date: Mon, 26 Feb 2024 20:55:47 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-28 18:32:48.470730
- Title: A Curious Case of Remarkable Resilience to Gradient Attacks via Fully
Convolutional and Differentiable Front End with a Skip Connection
- Title(参考訳): スキップ接続を用いた完全畳み込み・微分可能なフロントエンドによる勾配攻撃に対する顕著な弾力性
- Authors: Leonid Boytsov, Ameya Joshi, Filipe Condessa
- Abstract要約: 勾配マスキングは新しい現象ではありませんが、マスキングの程度は、完全に微分可能なモデルにとって非常に顕著でした。
ブラックボックス攻撃は勾配マスキングに対して部分的に有効であるが、モデルとランダムなアンサンブルを組み合わせることで容易に打ち負かされる。
- 参考スコア(独自算出の注目度): 5.030787492485122
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: We tested front-end enhanced neural models where a frozen classifier was
prepended by a differentiable and fully convolutional model with a skip
connection. By training them using a small learning rate for about one epoch,
we obtained models that retained the accuracy of the backbone classifier while
being unusually resistant to gradient attacks including APGD and FAB-T attacks
from the AutoAttack package, which we attributed to gradient masking. The
gradient masking phenomenon is not new, but the degree of masking was quite
remarkable for fully differentiable models that did not have
gradient-shattering components such as JPEG compression or components that are
expected to cause diminishing gradients.
Though black box attacks can be partially effective against gradient masking,
they are easily defeated by combining models into randomized ensembles. We
estimate that such ensembles achieve near-SOTA AutoAttack accuracy on CIFAR10,
CIFAR100, and ImageNet despite having virtually zero accuracy under adaptive
attacks. Adversarial training of the backbone classifier can further increase
resistance of the front-end enhanced model to gradient attacks. On CIFAR10, the
respective randomized ensemble achieved 90.8$\pm 2.5$% (99% CI) accuracy under
AutoAttack while having only 18.2$\pm 3.6$% accuracy under the adaptive attack.
We do not establish SOTA in adversarial robustness. Instead, we make
methodological contributions and further supports the thesis that adaptive
attacks designed with the complete knowledge of model architecture are crucial
in demonstrating model robustness and that even the so-called white-box
gradient attacks can have limited applicability. Although gradient attacks can
be complemented with black-box attack such as the SQUARE attack or the
zero-order PGD, black-box attacks can be weak against randomized ensembles,
e.g., when ensemble models mask gradients.
- Abstract(参考訳): 我々は,凍結型分類器をスキップ接続付き微分可能・完全畳み込みモデルで予測したフロントエンド強化ニューラルモデルを検証した。
約1年間,少量の学習率で学習することで,自動攻撃パッケージからapgdやfab-t攻撃などの勾配攻撃に耐性を持ちながら,バックボーン分類器の精度を保ったモデルを得た。
勾配マスキング現象は新しいものではないが、JPEG圧縮のような勾配散乱成分を持たない完全微分可能なモデルや、勾配の減少を期待するコンポーネントでは、マスキングの程度は顕著であった。
ブラックボックス攻撃は勾配マスキングに対して部分的に有効であるが、モデルとランダムアンサンブルを組み合わせることで容易に打ち破られる。
CIFAR10, CIFAR100, ImageNetでは, 適応攻撃時の精度がほぼゼロであるにもかかわらず, ほぼSOTAオートアタック精度が得られると推定する。
バックボーン分類器の逆訓練は、勾配攻撃に対するフロントエンド強化モデルの耐性をさらに高めることができる。
CIFAR10では、各ランダム化アンサンブルはAutoAttackで90.8$\pm 2.5$% (99% CI)の精度を達成し、適応攻撃では18.2$\pm 3.6$%の精度でしかなかった。
我々は、敵の堅牢性においてSOTAを確立しない。
その代わり、我々は方法論的な貢献を行い、モデルアーキテクチャの完全な知識で設計された適応攻撃はモデルの堅牢性を示す上で不可欠であり、いわゆるホワイトボックス勾配攻撃でさえ適用性に制限があるという仮説をさらに支持する。
勾配攻撃はSQUARE攻撃や0次PGDのようなブラックボックス攻撃と補完できるが、ブラックボックス攻撃はランダムアンサンブル(例えばアンサンブルモデルがグラデーションをマスクする場合)に対して弱い。
関連論文リスト
- DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial
Purification [63.65630243675792]
拡散に基づく浄化防御は拡散モデルを利用して、敵の例の人工摂動を除去する。
近年の研究では、先進的な攻撃でさえ、そのような防御を効果的に破壊できないことが示されている。
拡散型浄化防衛を効果的かつ効率的に行うための統合フレームワークDiffAttackを提案する。
論文 参考訳(メタデータ) (2023-10-27T15:17:50Z) - White-box Membership Inference Attacks against Diffusion Models [13.425726946466423]
拡散モデルは、より優れた画像生成性能のために、産業応用においてGANを覆い隠し始めている。
拡散モデルに適合したMIAを設計することを目的としている。
まず、ブラックボックス/ホワイトボックスモデルや攻撃特徴の選択といった要因を考慮して、既存のMIAを拡散モデルで徹底的に分析する。
白箱攻撃は現実世界のシナリオで非常に有効であることが分かり、現在最も効果的な攻撃は白箱である。
論文 参考訳(メタデータ) (2023-08-11T22:03:36Z) - Carefully Blending Adversarial Training, Purification, and Aggregation Improves Adversarial Robustness [1.2289361708127877]
CARSOは、防御のために考案された適応的なエンドツーエンドのホワイトボックス攻撃から自身を守ることができる。
提案手法は,Cifar-10,Cifar-100,TinyImageNet-200の最先端技術により改善されている。
論文 参考訳(メタデータ) (2023-05-25T09:04:31Z) - Adversarially Robust Classification by Conditional Generative Model
Inversion [4.913248451323163]
本稿では,攻撃の事前知識を仮定することなく,勾配を難読化せず,構造的に堅牢な分類モデルを提案する。
提案手法は,未成熟な自然画像に基づいて訓練された条件生成器を「反転」する最適化問題である。
我々のモデルはブラックボックス攻撃に対して非常に堅牢であり、ホワイトボックス攻撃に対するロバスト性を改善したことを実証する。
論文 参考訳(メタデータ) (2022-01-12T23:11:16Z) - Stochastic Variance Reduced Ensemble Adversarial Attack for Boosting the
Adversarial Transferability [20.255708227671573]
ブラックボックスの敵攻撃は、あるモデルから別のモデルに転送することができる。
本研究では,分散縮小アンサンブル攻撃と呼ばれる新しいアンサンブル攻撃法を提案する。
実験結果から,提案手法は既存のアンサンブル攻撃を著しく上回り,対向移動性を向上する可能性が示唆された。
論文 参考訳(メタデータ) (2021-11-21T06:33:27Z) - Meta Gradient Adversarial Attack [64.5070788261061]
本稿では,MGAA(Metaversa Gradient Adrial Attack)と呼ばれる新しいアーキテクチャを提案する。
具体的には、モデル動物園から複数のモデルをランダムにサンプリングし、異なるタスクを構成するとともに、各タスクにおけるホワイトボックス攻撃とブラックボックス攻撃を反復的にシミュレートする。
ブラックボックス攻撃における勾配方向とブラックボックス攻撃の差を狭めることにより、ブラックボックス設定における逆例の転送性を向上させることができる。
論文 参考訳(メタデータ) (2021-08-09T17:44:19Z) - Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。
任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。
本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
論文 参考訳(メタデータ) (2021-05-31T17:01:05Z) - Adversarial Robustness by Design through Analog Computing and Synthetic
Gradients [80.60080084042666]
光コプロセッサにインスパイアされた敵攻撃に対する新しい防御機構を提案する。
ホワイトボックス設定では、我々の防御はランダム投影のパラメータを難読化することで機能する。
光学系におけるランダムプロジェクションとバイナライゼーションの組み合わせにより、様々な種類のブラックボックス攻撃に対するロバスト性も向上する。
論文 参考訳(メタデータ) (2021-01-06T16:15:29Z) - Orthogonal Deep Models As Defense Against Black-Box Attacks [71.23669614195195]
攻撃者が標的モデルに類似したモデルを用いて攻撃を発生させるブラックボックス設定における深層モデル固有の弱点について検討する。
本稿では,深部モデルの内部表現を他のモデルに直交させる新しい勾配正規化手法を提案する。
様々な大規模モデルにおいて,本手法の有効性を検証する。
論文 参考訳(メタデータ) (2020-06-26T08:29:05Z) - Towards Query-Efficient Black-Box Adversary with Zeroth-Order Natural
Gradient Descent [92.4348499398224]
ブラックボックスの敵攻撃手法は、実用性や単純さから特に注目されている。
敵攻撃を設計するためのゼロ階自然勾配降下法(ZO-NGD)を提案する。
ZO-NGDは、最先端攻撃法と比較して、モデルクエリの複雑さが大幅に低い。
論文 参考訳(メタデータ) (2020-02-18T21:48:54Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。