論文の概要: Rewriting the Budget: A General Framework for Black-Box Attacks Under Cost Asymmetry

• arxiv url: http://arxiv.org/abs/2506.06933v1
• Date: Sat, 07 Jun 2025 22:02:27 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-10 16:33:10.571368
• Title: Rewriting the Budget: A General Framework for Black-Box Attacks Under Cost Asymmetry
• Title（参考訳）: 予算の書き直し:コスト非対称性の下でのブラックボックス攻撃のための一般的なフレームワーク
• Authors: Mahdi Salmani, Alireza Abdollahpoorrostam, Seyed-Mohsen Moosavi-Dezfooli,
• Abstract要約: 非対称なクエリコストで決定に基づく攻撃を行うための一般的なフレームワークを提案する。 異なるクエリタイプのバランスをとることで、総攻撃コストを最小限に抑える効率的なアルゴリズムを設計する。 提案手法は,既存手法に比べてクエリコストを一貫して低減し,摂動を小さくする。
• 参考スコア（独自算出の注目度）: 11.292557925135283
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Traditional decision-based black-box adversarial attacks on image classifiers aim to generate adversarial examples by slightly modifying input images while keeping the number of queries low, where each query involves sending an input to the model and observing its output. Most existing methods assume that all queries have equal cost. However, in practice, queries may incur asymmetric costs; for example, in content moderation systems, certain output classes may trigger additional review, enforcement, or penalties, making them more costly than others. While prior work has considered such asymmetric cost settings, effective algorithms for this scenario remain underdeveloped. In this paper, we propose a general framework for decision-based attacks under asymmetric query costs, which we refer to as asymmetric black-box attacks. We modify two core components of existing attacks: the search strategy and the gradient estimation process. Specifically, we propose Asymmetric Search (AS), a more conservative variant of binary search that reduces reliance on high-cost queries, and Asymmetric Gradient Estimation (AGREST), which shifts the sampling distribution to favor low-cost queries. We design efficient algorithms that minimize total attack cost by balancing different query types, in contrast to earlier methods such as stealthy attacks that focus only on limiting expensive (high-cost) queries. Our method can be integrated into a range of existing black-box attacks with minimal changes. We perform both theoretical analysis and empirical evaluation on standard image classification benchmarks. Across various cost regimes, our method consistently achieves lower total query cost and smaller perturbations than existing approaches, with improvements of up to 40% in some settings.
• Abstract（参考訳）: 画像分類器に対する従来の決定ベースのブラックボックスの敵対攻撃は、入力画像をわずかに修正し、クエリの数を低く保ちながら、各クエリがモデルに入力を送信し、その出力を観察することで、敵の例を生成することを目的としている。 既存のほとんどのメソッドは、全てのクエリが同等のコストを持つと仮定している。 例えば、コンテンツモデレーションシステムでは、特定の出力クラスが追加のレビュー、執行、罰則を誘導し、他のクラスよりもコストがかかる。 これまでの研究では、このような非対称なコスト設定が検討されていたが、このシナリオの効果的なアルゴリズムは未開発のままである。 本稿では,非対称なブラックボックス攻撃と呼ばれる非対称なクエリコスト下での意思決定に基づく攻撃の一般的な枠組みを提案する。 既存の攻撃のコアコンポーネントとして,探索戦略と勾配推定プロセスの2つを修正した。 具体的には、より保守的な二分探索法であるAsymmetric Search(AS)と、サンプリング分布を低コストなクエリにシフトさせるAsymmetric Gradient Estimation(AGREST)を提案する。 我々は、高価な(高価な)クエリの制限にのみ焦点をあてるステルス攻撃のような従来の手法とは対照的に、異なるクエリタイプのバランスをとることで、総攻撃コストを最小化する効率的なアルゴリズムを設計する。 我々の手法は、変更を最小限に抑えた既存のブラックボックス攻撃に組み込むことができる。 我々は,標準画像分類ベンチマークにおいて理論的解析と経験的評価を行う。 様々なコスト体系において,提案手法は従来手法よりもクエリコストの削減と摂動の低減を継続的に達成し,いくつかの設定では最大40%の改善を実現している。

関連論文リスト

• AttackBench: Evaluating Gradient-based Attacks for Adversarial Examples [26.37278338032268]
  アドリシャルな例は、通常、勾配ベースの攻撃に最適化される。 それぞれ異なる実験装置を用いて前任者を上回る性能を発揮する。 これは過度に最適化され、偏見のある評価を提供する。
  論文  参考訳（メタデータ） (2024-04-30T11:19:05Z)
• One-Shot Strategic Classification Under Unknown Costs [19.390528752448283]
  幅広いコストに対して、コスト関数の小さな誤推定でさえ、最悪の場合、自明な正確さを伴っていることを示す。 分析の結果,重要な戦略的応答,特にコスト操作関数に対する二重正則化の値が明らかになった。
  論文  参考訳（メタデータ） (2023-11-05T20:43:08Z)
• Evading Black-box Classifiers Without Breaking Eggs [70.72391781899597]
  決定に基づく回避攻撃は、ブラックボックス分類器に繰り返し問い合わせて敵の例を生成する。 以前の作業では、分類器に対して行われたクエリの総数によって、このような攻撃のコストを測定していた。 このメトリクスは欠陥があり、悪いクエリの数を1.5$-$7.3times$に削減する新たな攻撃を設計している、と私たちは主張する。
  論文  参考訳（メタデータ） (2023-06-05T14:04:53Z)
• LSDAT: Low-Rank and Sparse Decomposition for Decision-based Adversarial Attack [74.5144793386864]
  LSDATは、入力サンプルのスパース成分と対向サンプルのスパース成分によって形成される低次元部分空間における摂動を加工する。 LSDは画像ピクセル領域で直接動作し、スパース性などの非$ell$制約が満たされることを保証します。
  論文  参考訳（メタデータ） (2021-03-19T13:10:47Z)
• SurFree: a fast surrogate-free black-box attack [17.323638042215013]
  逆の例はわずかに修正された入力で、後に誤分類されるが、元のものと知覚的に近いままである。 ここ数年、ブラックボックス攻撃がターゲットに送信するクエリの量が大幅に減少しているのを目撃している。 本稿では、ブラックボックス決定に基づく攻撃という、最も困難な設定におけるクエリ量を大幅に削減する幾何的アプローチであるSurFreeを提案する。
  論文  参考訳（メタデータ） (2020-11-25T15:08:19Z)
• Simple and Efficient Hard Label Black-box Adversarial Attacks in Low Query Budget Regimes [80.9350052404617]
  そこで我々は,ブラックボックス攻撃の簡易かつ効率的なベイズ最適化(BO)に基づく手法を提案する。 高次元におけるBOの性能に関する問題は、構造化された低次元部分空間における逆例を探すことによって回避される。 提案手法は,10倍から20倍のクエリを必要としながら,攻撃成功率を2倍から10倍に向上させる。
  論文  参考訳（メタデータ） (2020-07-13T04:34:57Z)
• GeoDA: a geometric framework for black-box adversarial attacks [79.52980486689287]
  我々は,最も困難なブラックボックス設定の1つにおいて,逆例を生成するためのフレームワークを提案する。 我々のフレームワークは、ディープネットワークの決定境界は通常、データサンプルの近傍で小さな平均曲率を持つという観察に基づいている。
  論文  参考訳（メタデータ） (2020-03-13T20:03:01Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。