論文の概要: STBA: Towards Evaluating the Robustness of DNNs for Query-Limited Black-box Scenario
- arxiv url: http://arxiv.org/abs/2404.00362v1
- Date: Sat, 30 Mar 2024 13:28:53 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-04 04:10:32.495243
- Title: STBA: Towards Evaluating the Robustness of DNNs for Query-Limited Black-box Scenario
- Title(参考訳): STBA:クエリ制限されたブラックボックスシナリオに対するDNNのロバスト性評価に向けて
- Authors: Renyang Liu, Kwok-Yan Lam, Wei Zhou, Sixing Wu, Jun Zhao, Dongting Hu, Mingming Gong,
- Abstract要約: 本研究では,クエリ制限シナリオにおいて,悪意のある逆の例を作成するために,空間変換ブラックボックス攻撃(STBA)を提案する。
そこで本研究では,STBAが対向例の認識不能性を効果的に改善し,クエリ制限条件下での攻撃成功率を大幅に向上できることを示す。
- 参考スコア(独自算出の注目度): 50.37501379058119
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Many attack techniques have been proposed to explore the vulnerability of DNNs and further help to improve their robustness. Despite the significant progress made recently, existing black-box attack methods still suffer from unsatisfactory performance due to the vast number of queries needed to optimize desired perturbations. Besides, the other critical challenge is that adversarial examples built in a noise-adding manner are abnormal and struggle to successfully attack robust models, whose robustness is enhanced by adversarial training against small perturbations. There is no doubt that these two issues mentioned above will significantly increase the risk of exposure and result in a failure to dig deeply into the vulnerability of DNNs. Hence, it is necessary to evaluate DNNs' fragility sufficiently under query-limited settings in a non-additional way. In this paper, we propose the Spatial Transform Black-box Attack (STBA), a novel framework to craft formidable adversarial examples in the query-limited scenario. Specifically, STBA introduces a flow field to the high-frequency part of clean images to generate adversarial examples and adopts the following two processes to enhance their naturalness and significantly improve the query efficiency: a) we apply an estimated flow field to the high-frequency part of clean images to generate adversarial examples instead of introducing external noise to the benign image, and b) we leverage an efficient gradient estimation method based on a batch of samples to optimize such an ideal flow field under query-limited settings. Compared to existing score-based black-box baselines, extensive experiments indicated that STBA could effectively improve the imperceptibility of the adversarial examples and remarkably boost the attack success rate under query-limited settings.
- Abstract(参考訳): DNNの脆弱性を探究し、その堅牢性を改善するために多くの攻撃手法が提案されている。
最近の大きな進歩にもかかわらず、既存のブラックボックス攻撃手法は、望ましい摂動を最適化するために大量のクエリを必要とするため、未だに不満足なパフォーマンスに悩まされている。
その他の重要な課題は、ノイズ付加方式で構築された敵の例が異常であり、小さな摂動に対する敵の訓練によって強靭性を高めるロバストモデルへの攻撃に苦慮していることである。
上記の2つの問題が暴露のリスクを大幅に増加させ、結果としてDNNの脆弱性を深く掘り下げることに失敗することは間違いない。
したがって、DNNの脆弱性をクエリ制限設定下において、付加的でない方法で十分に評価する必要がある。
本稿では,問合せ制限シナリオにおいて,予測可能な敵の例を作成するための新しいフレームワークであるSpatial Transform Black-box Attack (STBA)を提案する。
特に、STBAは、クリーン画像の高周波部分に流れ場を導入し、敵の例を生成し、以下の2つのプロセスを採用して、自然性を高め、クエリ効率を大幅に改善する。
a) クリーン画像の高周波部分に推定フロー場を適用して、良画像に外部ノイズを導入するのではなく、逆例を生成する。
b) クエリ制限条件下での理想的な流れ場を最適化するために, サンプルのバッチに基づく効率的な勾配推定手法を利用する。
既存のスコアベースのブラックボックスベースラインと比較して、STBAは敵のサンプルの認識不能性を効果的に改善し、クエリ制限された設定下での攻撃成功率を大幅に向上できることを示した。
関連論文リスト
- AFLOW: Developing Adversarial Examples under Extremely Noise-limited
Settings [7.828994881163805]
ディープニューラルネットワーク(DNN)は、敵の攻撃に対して脆弱である。
本稿では,AFLOW と呼ばれる新しい正規化フローベースのエンドツーエンドアタックフレームワークを提案する。
既存の手法と比較すると、AFLOWは認識不能性、画質、攻撃能力に優れていた。
論文 参考訳(メタデータ) (2023-10-15T10:54:07Z) - TSFool: Crafting Highly-Imperceptible Adversarial Time Series through Multi-Objective Attack [6.243453526766042]
TSFoolと呼ばれる効率的な手法を提案する。
中心となる考え方は、「カモフラージュ係数」(Camouflage Coefficient)と呼ばれる新しい大域的な最適化目標であり、クラス分布から反対サンプルの非受容性を捉えるものである。
11のUCRデータセットとUEAデータセットの実験では、TSFoolは6つのホワイトボックスと3つのブラックボックスベンチマークアタックを著しく上回っている。
論文 参考訳(メタデータ) (2022-09-14T03:02:22Z) - Query-Efficient and Scalable Black-Box Adversarial Attacks on Discrete
Sequential Data via Bayesian Optimization [10.246596695310176]
ブラックボックス設定における離散的な逐次データに基づくモデルに対する敵攻撃の問題に焦点をあてる。
我々はベイジアン最適化を用いたクエリ効率の良いブラックボックス攻撃を提案し、重要な位置を動的に計算する。
そこで我々は,摂動サイズを小さくした逆例を求めるポスト最適化アルゴリズムを開発した。
論文 参考訳(メタデータ) (2022-06-17T06:11:36Z) - Latent Boundary-guided Adversarial Training [61.43040235982727]
モデルトレーニングに敵の例を注入する最も効果的な戦略は、敵のトレーニングであることが証明されている。
本稿では, LAtent bounDary-guided aDvErsarial tRaining という新たな逆トレーニングフレームワークを提案する。
論文 参考訳(メタデータ) (2022-06-08T07:40:55Z) - On the Convergence and Robustness of Adversarial Training [134.25999006326916]
Project Gradient Decent (PGD) によるアドリアリトレーニングが最も効果的である。
生成した逆数例の収束性を向上させるためのテクトダイナミックトレーニング戦略を提案する。
その結果,提案手法の有効性が示唆された。
論文 参考訳(メタデータ) (2021-12-15T17:54:08Z) - Enhanced countering adversarial attacks via input denoising and feature
restoring [15.787838084050957]
ディープニューラルネットワーク(DNN)は、クリーン/オリジンサンプルにおいて知覚できない摂動を伴う敵の例/サンプル(AE)に対して脆弱である。
本稿では,IDFR(Input Denoising and Feature Restoring)による対向攻撃手法の強化について述べる。
提案したIDFRは, 凸船体最適化に基づく拡張型インプットデノイザ (ID) と隠れ型ロスィ特徴復元器 (FR) から構成される。
論文 参考訳(メタデータ) (2021-11-19T07:34:09Z) - Attribute-Guided Adversarial Training for Robustness to Natural
Perturbations [64.35805267250682]
本稿では,属性空間への分類器の露出を最大化するために,新しいサンプルを生成することを学習する逆学習手法を提案する。
我々のアプローチは、ディープニューラルネットワークが自然に発生する摂動に対して堅牢であることを可能にする。
論文 参考訳(メタデータ) (2020-12-03T10:17:30Z) - Improving Query Efficiency of Black-box Adversarial Attack [75.71530208862319]
ニューラルプロセスに基づくブラックボックス対逆攻撃(NP-Attack)を提案する。
NP-Attackはブラックボックス設定でクエリ数を大幅に削減できる。
論文 参考訳(メタデータ) (2020-09-24T06:22:56Z) - Towards Query-Efficient Black-Box Adversary with Zeroth-Order Natural
Gradient Descent [92.4348499398224]
ブラックボックスの敵攻撃手法は、実用性や単純さから特に注目されている。
敵攻撃を設計するためのゼロ階自然勾配降下法(ZO-NGD)を提案する。
ZO-NGDは、最先端攻撃法と比較して、モデルクエリの複雑さが大幅に低い。
論文 参考訳(メタデータ) (2020-02-18T21:48:54Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。