論文の概要: Backdoor defense, learnability and obfuscation
- arxiv url: http://arxiv.org/abs/2409.03077v2
- Date: Mon, 18 Nov 2024 17:48:59 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-19 14:31:13.291215
- Title: Backdoor defense, learnability and obfuscation
- Title(参考訳): バックドアディフェンス、学習性、難読化
- Authors: Paul Christiano, Jacob Hilton, Victor Lecomte, Mark Xu,
- Abstract要約: 本研究では,攻撃者と防御者の間のゲームを用いて,バックドアに対する防御性に関する公式な概念を導入する。
私たちの定義は単純で、学習について明示的に言及していませんが、学習容易性と密接な関係があることを示します。
- 参考スコア(独自算出の注目度): 8.905450847393132
- License:
- Abstract: We introduce a formal notion of defendability against backdoors using a game between an attacker and a defender. In this game, the attacker modifies a function to behave differently on a particular input known as the "trigger", while behaving the same almost everywhere else. The defender then attempts to detect the trigger at evaluation time. If the defender succeeds with high enough probability, then the function class is said to be defendable. The key constraint on the attacker that makes defense possible is that the attacker's strategy must work for a randomly-chosen trigger. Our definition is simple and does not explicitly mention learning, yet we demonstrate that it is closely connected to learnability. In the computationally unbounded setting, we use a voting algorithm of Hanneke et al. (2022) to show that defendability is essentially determined by the VC dimension of the function class, in much the same way as PAC learnability. In the computationally bounded setting, we use a similar argument to show that efficient PAC learnability implies efficient defendability, but not conversely. On the other hand, we use indistinguishability obfuscation to show that the class of polynomial size circuits is not efficiently defendable. Finally, we present polynomial size decision trees as a natural example for which defense is strictly easier than learning. Thus, we identify efficient defendability as a notable intermediate concept in between efficient learnability and obfuscation.
- Abstract(参考訳): 本研究では,攻撃者と防御者の間のゲームを用いて,バックドアに対する防御性に関する公式な概念を導入する。
このゲームでは、攻撃者は「トリガー」と呼ばれる特定の入力に対して異なる振る舞いをする関数を修正し、ほとんどどこでも同じ動作をする。
その後、ディフェンダーは評価時にトリガーを検出しようとする。
もしディフェンダーが十分高い確率で成功するなら、関数クラスは防御可能であると言われる。
防御を可能にする攻撃者に対する重要な制約は、攻撃者の戦略がランダムなチョーゼントリガーのために機能しなければならないことである。
私たちの定義は単純で、学習について明示的に言及していませんが、学習容易性と密接な関係があることを示します。
計算的に非有界な設定では、Hanneke et al (2022) の投票アルゴリズムを用いて、防御性が本質的に関数クラスのVC次元によって決定されることを示す。
計算的に有界な設定では、PAC学習性が効率のよい防御性を示すが、逆ではないことを示すために、同様の引数を用いる。
一方、多項式サイズ回路のクラスが効率よく防御できないことを示すために、区別不可能な難読化を用いる。
最後に、多項式サイズの決定木を、防御が学習よりも厳密に容易な自然な例として提示する。
そこで我々は,効率的な学習性と難読化の中間概念として,効率的な防御性を見いだした。
関連論文リスト
- The Good, the Bad and the Ugly: Watermarks, Transferable Attacks and Adversarial Defenses [21.975560789792073]
バックドアベースの透かしと敵防御の既存の定義を2人のプレイヤー間の対話プロトコルとして定式化し拡張する。
ほぼすべての差別的学習タスクにおいて、少なくとも2つののうちの1つ(透かしまたは敵の防御)が存在している。
転送可能な攻撃の概念を満たすタスクは、暗号プリミティブを意味することを示す。
論文 参考訳(メタデータ) (2024-10-11T14:44:05Z) - Improving Adversarial Robustness via Decoupled Visual Representation Masking [65.73203518658224]
本稿では,特徴分布の観点から,ロバストな特徴の2つの新しい特性を強調した。
現状の防衛手法は、上記の2つの問題にうまく対処することを目的としている。
具体的には、分離された視覚的表現マスキングに基づく、シンプルだが効果的な防御法を提案する。
論文 参考訳(メタデータ) (2024-06-16T13:29:41Z) - Hindering Adversarial Attacks with Multiple Encrypted Patch Embeddings [13.604830818397629]
効率性とロバスト性の両方に着目したキーベースの新たな防衛手法を提案する。
我々は,(1)効率的なトレーニングと(2)任意ランダム化という2つの大きな改善をともなう,以前の防衛基盤を構築した。
実験はImageNetデータセット上で行われ、提案された防御は最先端の攻撃兵器に対して評価された。
論文 参考訳(メタデータ) (2023-09-04T14:08:34Z) - Adversary Aware Continual Learning [3.3439097577935213]
Adversaryは、テスト時に特定のタスクやクラスを意図的に忘れるように、少量の誤報をモデルに導入することができる。
我々は,攻撃者のバックドアパターンを人間には認識不能にすることで,攻撃者の主要な強みを隠蔽し,攻撃者の知覚不能パターンを超過する知覚的(強者)パターンを学習することを提案する。
提案手法は,攻撃者の目標タスク,攻撃者の目標クラス,攻撃者の許容できないパターンを知らずに,クラスインクリメンタル学習アルゴリズムの性能を著しく向上させることを示す。
論文 参考訳(メタデータ) (2023-04-27T19:49:50Z) - Planning for Attacker Entrapment in Adversarial Settings [16.085007590604327]
本研究では,攻撃者の知識を使わずに攻撃者が操作できる環境で作業している攻撃者に対する防衛戦略を生成する枠組みを提案する。
この問題の定式化により、より単純な無限地平線割引MDPとして捉えることができ、MDPの最適方針は、攻撃者の行動に対するディフェンダーの戦略を与える。
論文 参考訳(メタデータ) (2023-03-01T21:08:27Z) - Measuring Equality in Machine Learning Security Defenses: A Case Study
in Speech Recognition [56.69875958980474]
この研究は、学習したシステムを守るためのアプローチと、異なるサブ人口間でのセキュリティ防衛がパフォーマンス上の不平等をもたらす方法を検討する。
提案された多くの手法は、虚偽の拒絶やロバストネストレーニングの不平等といった直接的な害を引き起こす可能性がある。
本稿では, ランダム化スムースメントとニューラルリジェクションの2つの防御法の比較を行い, マイノリティ集団のサンプリング機構により, ランダム化スムースメントがより公平であることを見出した。
論文 参考訳(メタデータ) (2023-02-17T16:19:26Z) - Fixed Points in Cyber Space: Rethinking Optimal Evasion Attacks in the
Age of AI-NIDS [70.60975663021952]
ネットワーク分類器に対するブラックボックス攻撃について検討する。
我々は、アタッカー・ディフェンダーの固定点がそれ自体、複雑な位相遷移を持つ一般サムゲームであると主張する。
攻撃防御力学の研究には連続的な学習手法が必要であることを示す。
論文 参考訳(メタデータ) (2021-11-23T23:42:16Z) - Adversarial Classification of the Attacks on Smart Grids Using Game
Theory and Deep Learning [27.69899235394942]
本稿では,攻撃者によるパワー測定における変動を評価するためのゲーム理論的手法を提案する。
ゼロサムゲームは、攻撃者とディフェンダーの間の相互作用をモデル化するために使用される。
論文 参考訳(メタデータ) (2021-06-06T18:43:28Z) - Attack Agnostic Adversarial Defense via Visual Imperceptible Bound [70.72413095698961]
本研究の目的は、目視攻撃と目視攻撃の両方に対して一定の範囲内で堅牢な防衛モデルを設計することである。
提案するディフェンスモデルは,MNIST,CIFAR-10,Tiny ImageNetデータベース上で評価される。
提案アルゴリズムは攻撃非依存であり,攻撃アルゴリズムの知識を必要としない。
論文 参考訳(メタデータ) (2020-10-25T23:14:26Z) - Harnessing adversarial examples with a surprisingly simple defense [47.64219291655723]
敵の例に対抗して、非常に簡単な方法を紹介します。
基本的な考え方は、テスト時にReLU関数の傾きを上げることである。
MNISTとCIFAR-10データセットによる実験では、提案された防御の有効性が示されている。
論文 参考訳(メタデータ) (2020-04-26T03:09:42Z) - Block Switching: A Stochastic Approach for Deep Learning Security [75.92824098268471]
近年の敵対的攻撃の研究は、現代のディープラーニングモデルの脆弱性を明らかにしている。
本稿では、オン性に基づく敵攻撃に対する防御戦略であるBlock Switching(BS)を紹介する。
論文 参考訳(メタデータ) (2020-02-18T23:14:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。