論文の概要: The Efficacy of Transfer-based No-box Attacks on Image Watermarking: A Pragmatic Analysis
- arxiv url: http://arxiv.org/abs/2412.02576v1
- Date: Tue, 03 Dec 2024 17:02:49 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-12-04 15:40:16.856895
- Title: The Efficacy of Transfer-based No-box Attacks on Image Watermarking: A Pragmatic Analysis
- Title(参考訳): 画像透かしにおける転送ベースNo-boxアタックの有効性:実用的分析
- Authors: Qilong Wu, Varun Chandrasekaran,
- Abstract要約: 我々は,攻撃者が透かしモデルについて何も知らないと仮定される,no-box'設定における画像透かし手法の堅牢性について検討する。
構成がほぼ一致している場合、単純な非最適化攻撃が、最適化ベースの取り組みの成功をすでに上回っていることを示す。
- 参考スコア(独自算出の注目度): 11.724935807582513
- License:
- Abstract: Watermarking approaches are widely used to identify if images being circulated are authentic or AI-generated. Determining the robustness of image watermarking methods in the ``no-box'' setting, where the attacker is assumed to have no knowledge about the watermarking model, is an interesting problem. Our main finding is that evading the no-box setting is challenging: the success of optimization-based transfer attacks (involving training surrogate models) proposed in prior work~\cite{hu2024transfer} depends on impractical assumptions, including (i) aligning the architecture and training configurations of both the victim and attacker's surrogate watermarking models, as well as (ii) a large number of surrogate models with potentially large computational requirements. Relaxing these assumptions i.e., moving to a more pragmatic threat model results in a failed attack, with an evasion rate at most $21.1\%$. We show that when the configuration is mostly aligned, a simple non-optimization attack we propose, OFT, with one single surrogate model can already exceed the success of optimization-based efforts. Under the same $\ell_\infty$ norm perturbation budget of $0.25$, prior work~\citet{hu2024transfer} is comparable to or worse than OFT in $11$ out of $12$ configurations and has a limited advantage on the remaining one. The code used for all our experiments is available at \url{https://github.com/Ardor-Wu/transfer}.
- Abstract(参考訳): 透かしアプローチは、流通中の画像が本物かAI生成であるかを識別するために広く使用されている。
画像透かしの手法のロバストさを'no-box'設定で決定することは、攻撃者が透かしモデルについて何も知らないと仮定されるが、興味深い問題である。
最適化ベースの転送攻撃(トレーニングサロゲートモデルを含む)の成功は、以前の作業で提案された—\cite{hu2024transfer}は、非現実的な仮定に依存する。
一 被害者及び攻撃者の代理用透かし模型の建築及び訓練構成の整合
(II) 潜在的に大きな計算要求を持つ多数の代理モデル。
これらの仮定を緩和する、すなわちより現実的な脅威モデルに移行すると、攻撃が失敗し、回避率は少なくとも21.1\%$である。
構成がほぼ一致している場合、単一のサロゲートモデルで提案する単純な非最適化攻撃が、最適化ベースの取り組みの成功をすでに上回っていることを示す。
同じ$\ell_\infty$ norm perturbation budget of $0.25$, pre work~\citet{hu2024transfer} では、12ドル構成のうち11ドルとOFTと同等か劣る。
すべての実験に使用されるコードは、 \url{https://github.com/Ardor-Wu/transfer}で公開されている。
関連論文リスト
- $B^4$: A Black-Box Scrubbing Attack on LLM Watermarks [42.933100948624315]
透かしは、知覚不可能なパターンを埋め込むことによって、コンテンツ検出の顕著な技術として登場した。
以前の作業では、通常、特定のタイプの透かしが既に知られているグレーボックスアタックの設定が検討されていた。
ここでは、ウォーターマークに対するブラックボックスのスクラブ攻撃であるB4$を提案します。
論文 参考訳(メタデータ) (2024-11-02T12:01:44Z) - Advancing Generalized Transfer Attack with Initialization Derived Bilevel Optimization and Dynamic Sequence Truncation [49.480978190805125]
転送攻撃はブラックボックスアプリケーションに大きな関心を惹きつける。
既存の作業は、本質的に単一のレベルの目的 w.r.t. シュロゲートモデルを直接最適化する。
本稿では,上位レベル(UL)と下位レベル(LL)のサロゲート攻撃とのネスト関係を明示的に再構築する2レベル最適化手法を提案する。
論文 参考訳(メタデータ) (2024-06-04T07:45:27Z) - Class-Conditioned Transformation for Enhanced Robust Image Classification [19.738635819545554]
本稿では,Adrial-versa-Trained (AT)モデルを強化する新しいテスト時間脅威モデルを提案する。
コンディショナル・イメージ・トランスフォーメーションとディスタンス・ベース・予測(CODIP)を用いて動作する。
提案手法は,様々なモデル,ATメソッド,データセット,アタックタイプに関する広範な実験を通じて,最先端の成果を実証する。
論文 参考訳(メタデータ) (2023-03-27T17:28:20Z) - I$^2$SB: Image-to-Image Schr\"odinger Bridge [87.43524087956457]
Image-to-Image Schr"odinger Bridge (I$2$SB) は条件拡散モデルの新しいクラスである。
I$2$SB は、2つの与えられた分布間の非線形拡散過程を直接学習する。
I$2$SBは、より解釈可能な生成過程を持つ標準条件拡散モデルを超えることを示す。
論文 参考訳(メタデータ) (2023-02-12T08:35:39Z) - Adversarial Pixel Restoration as a Pretext Task for Transferable
Perturbations [54.1807206010136]
トランスファー可能な敵攻撃は、事前訓練された代理モデルと既知のラベル空間から敵を最適化し、未知のブラックボックスモデルを騙す。
本稿では,効果的なサロゲートモデルをスクラッチからトレーニングするための自己教師型代替手段として,Adversarial Pixel Restorationを提案する。
我々のトレーニングアプローチは、敵の目標を通したオーバーフィッティングを減らすmin-maxの目標に基づいています。
論文 参考訳(メタデータ) (2022-07-18T17:59:58Z) - Towards Transferable Unrestricted Adversarial Examples with Minimum
Changes [13.75751221823941]
転送ベースの敵の例はブラックボックス攻撃の最も重要なクラスの一つである。
対人摂動の伝達可能性と非受容性の間にはトレードオフがある。
最小限の変更を伴って転送可能な逆例を生成するための幾何対応フレームワークを提案する。
論文 参考訳(メタデータ) (2022-01-04T12:03:20Z) - Transferable Sparse Adversarial Attack [62.134905824604104]
オーバーフィッティング問題を緩和するジェネレータアーキテクチャを導入し、転送可能なスパース対逆例を効率的に作成する。
提案手法は,他の最適化手法よりも700$times$高速な推論速度を実現する。
論文 参考訳(メタデータ) (2021-05-31T06:44:58Z) - Good Artists Copy, Great Artists Steal: Model Extraction Attacks Against
Image Translation Generative Adversarial Networks [12.605607949417031]
実世界生成逆ネットワーク(gan)画像翻訳モデルに対する最初のモデル抽出攻撃を示す。
敵は$f_v$のアーキテクチャや、その意図した画像翻訳タスク以外の情報を知る必要はない。
画像翻訳の2つのカテゴリの3つの異なる例を用いて,攻撃の有効性を評価する。
論文 参考訳(メタデータ) (2021-04-26T14:50:59Z) - On Generating Transferable Targeted Perturbations [102.3506210331038]
伝達性の高い標的摂動に対する新しい生成的アプローチを提案する。
私たちのアプローチは、ターゲットクラスの「乱れた画像分布」にマッチし、高いターゲット転送率につながります。
論文 参考訳(メタデータ) (2021-03-26T17:55:28Z) - Understanding Frank-Wolfe Adversarial Training [1.2183405753834557]
Adversarial Training(AT)は、最悪のケースの損失を最小限に抑えるために、堅牢な最適化問題を解決する技術です。
frank-wolfe adversarial trainingアプローチが提示され、pgd-atのような競争力レベルの堅牢性を提供する。
論文 参考訳(メタデータ) (2020-12-22T21:36:52Z) - Model Watermarking for Image Processing Networks [120.918532981871]
深層モデルの知的財産権を保護する方法は、非常に重要であるが、真に研究されていない問題である。
画像処理モデルを保護するための最初のモデル透かしフレームワークを提案する。
論文 参考訳(メタデータ) (2020-02-25T18:36:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。