論文の概要: LADDER: Multi-objective Backdoor Attack via Evolutionary Algorithm

• arxiv url: http://arxiv.org/abs/2411.19075v1
• Date: Thu, 28 Nov 2024 11:50:23 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-12-02 15:23:27.738359
• Title: LADDER: Multi-objective Backdoor Attack via Evolutionary Algorithm
• Title（参考訳）: LADDER:進化的アルゴリズムによる多目的バックドア攻撃
• Authors: Dazhuang Liu, Yanqi Qiao, Rui Wang, Kaitai Liang, Georgios Smaragdakis,
• Abstract要約: 本研究は、進化的アルゴリズム(LADDER)による二重領域における多目的ブラックボックスバックドア攻撃を提案する。 特に,多目的最適化問題 (MOP) として LADDER を定式化し,多目的進化アルゴリズム (MOEA) を用いて解く。 LADDERの攻撃効果は少なくとも99%、攻撃力90.23%、優れた自然ステルスネス(1.12倍から196.74倍)、優れた分光ステルスネス(8.45倍の強化)が5つの公開データセットの平均$l$-normによる現在のステルスシーアタックと比較して総合的に示されている。
• 参考スコア（独自算出の注目度）: 11.95174457001938
• License:
• Abstract: Current black-box backdoor attacks in convolutional neural networks formulate attack objective(s) as single-objective optimization problems in single domain. Designing triggers in single domain harms semantics and trigger robustness as well as introduces visual and spectral anomaly. This work proposes a multi-objective black-box backdoor attack in dual domains via evolutionary algorithm (LADDER), the first instance of achieving multiple attack objectives simultaneously by optimizing triggers without requiring prior knowledge about victim model. In particular, we formulate LADDER as a multi-objective optimization problem (MOP) and solve it via multi-objective evolutionary algorithm (MOEA). MOEA maintains a population of triggers with trade-offs among attack objectives and uses non-dominated sort to drive triggers toward optimal solutions. We further apply preference-based selection to MOEA to exclude impractical triggers. We state that LADDER investigates a new dual-domain perspective for trigger stealthiness by minimizing the anomaly between clean and poisoned samples in the spectral domain. Lastly, the robustness against preprocessing operations is achieved by pushing triggers to low-frequency regions. Extensive experiments comprehensively showcase that LADDER achieves attack effectiveness of at least 99%, attack robustness with 90.23% (50.09% higher than state-of-the-art attacks on average), superior natural stealthiness (1.12x to 196.74x improvement) and excellent spectral stealthiness (8.45x enhancement) as compared to current stealthy attacks by the average $l_2$-norm across 5 public datasets.
• Abstract（参考訳）: 畳み込みニューラルネットワークにおける現在のブラックボックスバックドア攻撃は、単一領域における単目的最適化問題として攻撃目標を定式化する。 単一ドメインでのトリガの設計はセマンティクスを損なうだけでなく、視覚的およびスペクトル的異常も引き起こす。 本研究は,複数の攻撃目標を同時に達成する最初の事例である進化的アルゴリズム(LADDER)を用いて,被害者モデルに関する事前知識を必要とせずにトリガを最適化する,二重ドメインにおける多目的ブラックボックスバックドアアタックを提案する。 特に,多目的最適化問題 (MOP) として LADDER を定式化し,多目的進化アルゴリズム (MOEA) を用いて解く。 MOEAは攻撃目標間のトレードオフを伴うトリガーの集団を維持し、非支配的なソートを使用して最適なソリューションに向けてトリガーを駆動する。 さらに、非現実的な引き金を排除するために、MOEAに嗜好に基づく選択を適用する。 LADDERは、スペクトル領域の清浄試料と有毒試料の異常を最小限に抑え、ステルスネスを誘発する新しい二重ドメインの視点を調査している。 最後に、前処理操作に対するロバスト性は、低周波領域にトリガをプッシュすることで達成される。 LADDERは少なくとも99%の攻撃効果、90.23%(最先端の攻撃よりも50.09%高い)の攻撃堅牢性、優れた自然の盗難性(1.12倍から196.74倍の改善)、優れた盗難性(8.45倍の強化)、そして5つの公開データセットの平均$l_2$-normによる現在の盗難性(英語版)と比べても優れている。

関連論文リスト

• Meta Invariance Defense Towards Generalizable Robustness to Unknown Adversarial Attacks [62.036798488144306]
  現在の防衛は主に既知の攻撃に焦点を当てているが、未知の攻撃に対する敵意の強固さは見過ごされている。 メタ不変防衛(Meta Invariance Defense, MID)と呼ばれる攻撃非依存の防御手法を提案する。 MIDは高レベルの画像分類と低レベルの頑健な画像再生における攻撃抑制において,知覚不能な逆方向の摂動に対して同時に頑健性を実現する。
  論文  参考訳（メタデータ） (2024-04-04T10:10:38Z)
• Multi-objective Evolutionary Search of Variable-length Composite Semantic Perturbations [1.9100854225243937]
  可変長複合意味摂動(MES-VCSP)の多目的進化探索法を提案する。 MES-VCSPは、高い攻撃成功率、より自然性、より少ない時間コストで敵の例を得ることができる。
  論文  参考訳（メタデータ） (2023-07-13T04:08:16Z)
• A Large-scale Multiple-objective Method for Black-box Attack against Object Detection [70.00150794625053]
  我々は、真正の確率を最小化し、偽正の確率を最大化し、より多くの偽正の物体が新しい真正の有界箱を作らないようにする。 我々は、GARSDCと呼ばれるランダム・サブセット選択とディバイド・アンド・コンカーによる標準的な遺伝的アルゴリズムを拡張し、効率を大幅に改善する。 最先端攻撃法と比較して、GARSDCはmAPでは平均12.0、広範囲な実験ではクエリでは約1000倍減少する。
  論文  参考訳（メタデータ） (2022-09-16T08:36:42Z)
• Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
  本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。 有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。 SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
  論文  参考訳（メタデータ） (2022-07-25T03:24:58Z)
• Constrained Gradient Descent: A Powerful and Principled Evasion Attack Against Neural Networks [19.443306494201334]
  我々は,攻撃者の目的の直感に従って,攻撃対象のホワイトボックスを攻撃対象とするいくつかのイノベーションを紹介した。 まず,ターゲット攻撃の目的を明確に把握する新たな損失関数を提案する。 第2に,誤分類対象と$L_infty$距離制限の両方を捉えた損失関数のさらなる改良版を用いた新たな攻撃手法を提案する。
  論文  参考訳（メタデータ） (2021-12-28T17:36:58Z)
• Adversarial Unlearning of Backdoors via Implicit Hypergradient [13.496838121707754]
  汚染されたモデルから少量のクリーンデータに基づいてバックドアを除去するミニマックスの定式化を提案する。 我々はImlicit Bacdoor Adversarial Unlearning (I-BAU)アルゴリズムを用いてミニマックスを解く。 I-BAUのパフォーマンスは最高のベースラインに匹敵するものであり、ほとんどの場合、最高のベースラインよりも優れています。
  論文  参考訳（メタデータ） (2021-10-07T18:32:54Z)
• Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
  少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。 近年の取り組みは、他の等級のl_infty摂動と組み合わせている。 本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
  論文  参考訳（メタデータ） (2021-06-10T20:11:36Z)
• Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
  CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。 任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。 本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
  論文  参考訳（メタデータ） (2021-05-31T17:01:05Z)
• Targeted Attack against Deep Neural Networks via Flipping Limited Weight Bits [55.740716446995805]
  我々は,悪質な目的で展開段階におけるモデルパラメータを修飾する新しい攻撃パラダイムについて検討する。 私たちのゴールは、特定のサンプルをサンプル修正なしでターゲットクラスに誤分類することです。 整数プログラミングにおける最新の手法を利用することで、このBIP問題を連続最適化問題として等価に再構成する。
  論文  参考訳（メタデータ） (2021-02-21T03:13:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。