論文の概要: FCert: Certifiably Robust Few-Shot Classification in the Era of Foundation Models
- arxiv url: http://arxiv.org/abs/2404.08631v1
- Date: Fri, 12 Apr 2024 17:50:40 GMT
- ステータス: 処理完了
- システム内更新日: 2024-04-15 14:18:01.733254
- Title: FCert: Certifiably Robust Few-Shot Classification in the Era of Foundation Models
- Title(参考訳): FCert: ファンデーションモデル時代におけるロバストなFew-Shot分類
- Authors: Yanting Wang, Wei Zou, Jinyuan Jia,
- Abstract要約: FCertは、データ中毒攻撃に対する最初の認証された防御法であり、数発の分類である。
1)攻撃なしでの分類精度を維持すること,2)データ中毒攻撃に対する既存の認証された防御能力を上回ること,3)効率的で汎用的なこと,である。
- 参考スコア(独自算出の注目度): 38.019489232264796
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Few-shot classification with foundation models (e.g., CLIP, DINOv2, PaLM-2) enables users to build an accurate classifier with a few labeled training samples (called support samples) for a classification task. However, an attacker could perform data poisoning attacks by manipulating some support samples such that the classifier makes the attacker-desired, arbitrary prediction for a testing input. Empirical defenses cannot provide formal robustness guarantees, leading to a cat-and-mouse game between the attacker and defender. Existing certified defenses are designed for traditional supervised learning, resulting in sub-optimal performance when extended to few-shot classification. In our work, we propose FCert, the first certified defense against data poisoning attacks to few-shot classification. We show our FCert provably predicts the same label for a testing input under arbitrary data poisoning attacks when the total number of poisoned support samples is bounded. We perform extensive experiments on benchmark few-shot classification datasets with foundation models released by OpenAI, Meta, and Google in both vision and text domains. Our experimental results show our FCert: 1) maintains classification accuracy without attacks, 2) outperforms existing state-of-the-art certified defenses for data poisoning attacks, and 3) is efficient and general.
- Abstract(参考訳): ファンデーションモデル(例えば、CLIP、DINOv2、PaLM-2)を使ったほとんどショットの分類では、分類タスクのためにいくつかのラベル付きトレーニングサンプル(サポートサンプルと呼ばれる)で正確な分類器を構築することができる。
しかし、攻撃者は、いくつかのサポートサンプルを操作することでデータ中毒攻撃を行うことができ、分類器は、テスト入力に対して攻撃者が欲しがる任意の予測を行う。
実証的な防御は形式的な堅牢性を保証することができないため、攻撃者と防御者の間の猫とマウスのゲームに繋がる。
既存の認証された防御は、従来の教師付き学習のために設計されており、結果として、数発の分類に拡張された際の準最適性能をもたらす。
本研究で提案するFCertは,データ中毒攻撃に対する最初の認証された防御であり,数発の分類である。
筆者らのFCertは, 有毒な支持サンプルの総数が拘束されている場合, 任意のデータ中毒攻撃を受けた場合, テスト入力について, 同じラベルを確実に予測することを示した。
視覚領域とテキスト領域の両方でOpenAI、Meta、Googleがリリースした基礎モデルを用いて、ベンチマーク数ショットの分類データセットについて広範な実験を行った。
実験結果からFCertが得られました。
1)攻撃なしで分類精度を維持する。
2)データ中毒攻撃に対する既成の最先端の防犯を上回り、
3) 効率的で汎用性が高い。
関連論文リスト
- Towards Fair Classification against Poisoning Attacks [52.57443558122475]
攻撃者が少数のサンプルを訓練データに挿入できる毒殺シナリオについて検討する。
本稿では,従来の防犯手法に適合する汎用的かつ理論的に保証された枠組みを提案する。
論文 参考訳(メタデータ) (2022-10-18T00:49:58Z) - WeDef: Weakly Supervised Backdoor Defense for Text Classification [48.19967241668793]
既存のバックドア防御法は、限定的なトリガータイプにのみ有効である。
本稿では,弱教師付きバックドア防御フレームワークWeDefを提案する。
WeDefは一般的なトリガーベースの攻撃に対して有効であることを示す。
論文 参考訳(メタデータ) (2022-05-24T05:53:11Z) - Post-Training Detection of Backdoor Attacks for Two-Class and
Multi-Attack Scenarios [22.22337220509128]
バックドア攻撃(BA)は、ディープニューラルネットワーク分類器に対する新たな脅威である。
本稿では,BPリバースエンジニアリングに基づく検出フレームワークを提案する。
論文 参考訳(メタデータ) (2022-01-20T22:21:38Z) - Certified Robustness of Nearest Neighbors against Data Poisoning Attacks [31.85264586217373]
knn と rnn における本質的な多数決機構は,一般的なデータ中毒攻撃に対する堅牢性保証をすでに提供している。
我々の結果は、将来認証されたデータ中毒攻撃に対する防御の基準となる。
論文 参考訳(メタデータ) (2020-12-07T15:04:48Z) - How Robust are Randomized Smoothing based Defenses to Data Poisoning? [66.80663779176979]
我々は、トレーニングデータの品質の重要性を強調する堅牢な機械学習モデルに対して、これまで認識されていなかった脅威を提示します。
本稿では,二段階最適化に基づく新たなデータ中毒攻撃法を提案し,ロバストな分類器のロバスト性を保証する。
我々の攻撃は、被害者が最先端のロバストな訓練方法を用いて、ゼロからモデルを訓練しても効果的である。
論文 参考訳(メタデータ) (2020-12-02T15:30:21Z) - A Framework of Randomized Selection Based Certified Defenses Against
Data Poisoning Attacks [28.593598534525267]
本稿では,ランダム選択に基づくデータ中毒攻撃に対する認証防御の枠組みを提案する。
特定の条件を満たすランダム選択方式は、データ中毒攻撃に対して堅牢であることを示す。
当社のフレームワークは,トレーニングセットと中毒モデルに関する事前知識を活用することで,堅牢性の向上を可能にする。
論文 参考訳(メタデータ) (2020-09-18T10:38:12Z) - Deep Partition Aggregation: Provable Defense against General Poisoning
Attacks [136.79415677706612]
アドリアリン中毒は、分類器の試験時間挙動を損なうために訓練データを歪ませる。
毒殺攻撃に対する2つの新たな防御策を提案する。
DPAは一般的な中毒脅威モデルに対する認証された防御である。
SS-DPAはラベルフリップ攻撃に対する認証された防御である。
論文 参考訳(メタデータ) (2020-06-26T03:16:31Z) - Certified Robustness to Label-Flipping Attacks via Randomized Smoothing [105.91827623768724]
機械学習アルゴリズムは、データ中毒攻撃の影響を受けやすい。
任意の関数に対するランダム化スムージングの統一的なビューを示す。
本稿では,一般的なデータ中毒攻撃に対して,ポイントワイズで確実に堅牢な分類器を構築するための新しい戦略を提案する。
論文 参考訳(メタデータ) (2020-02-07T21:28:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。