論文の概要: Sample-wise Targeted Adversarial Attacks on Test-time Adaptation
- arxiv url: http://arxiv.org/abs/2605.23411v1
- Date: Fri, 22 May 2026 09:18:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-25 17:29:20.282692
- Title: Sample-wise Targeted Adversarial Attacks on Test-time Adaptation
- Title(参考訳): テスト時間適応におけるサンプルワイド・アタック
- Authors: Phuc Duc Nguyen, Quang Duc Nguyen,
- Abstract要約: テスト時間適応(TTA)は、分散シフトに効果的に対処するが、ラベルのないテストストリームを介して、敵の操作にモデルを公開する。
より現実的な脅威を捉えるために、サンプルワイド攻撃を導入する。
従来のアプローチとは異なり、攻撃者は攻撃者によるトリガーを含む入力のみを誤分類することを目的としており、検出を回避するために良質なクエリのグローバルなラベル分布を保存している。
- 参考スコア(独自算出の注目度): 1.7839351559374899
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Test-time adaptation (TTA) effectively counters distribution shifts but exposes models to adversarial manipulation via the unlabeled test stream. Existing class-wise targeted attacks remain impractical for stealthy exploitation in this setting: since TTA operates on batches, forcing a subset of samples toward a target label unintentionally pulls similar benign samples along, resulting in a conspicuously high frequency of the target label that is easy to detect. To capture a more realistic threat, we introduce a sample-wise targeted attack. Unlike prior approaches, the attacker aims to misclassify only inputs carrying an attacker-chosen trigger, while preserving the global label distribution of benign queries to evade detection. To achieve this, we propose a meta-learning-based attack with a novel priority-aware gradient alignment strategy that explicitly prioritizes attack success. The strategy formulates the gradient update as an ellipsoidal trust-region problem, mitigating the misalignment between attack success and distributional stealth, while providing theoretical guarantees for effective optimization of the attack objective in the presence of gradient misalignment. Extensive experiments on CIFAR-10-C, CIFAR-100-C, and ImageNet-C across TTA protocols demonstrate that our method achieves high targeted success rates while maintaining a label distribution that is consistent with the no-attack baseline, making it difficult to detect in unlabeled TTA deployment scenarios. Furthermore, we demonstrate that our attack shows strong robustness against existing defenses.
- Abstract(参考訳): テスト時間適応(TTA)は、分散シフトに効果的に対処するが、ラベルのないテストストリームを介して、敵の操作にモデルを公開する。
TTAはバッチ上で動作しているため、サンプルのサブセットを意図せずにターゲットラベルに向けて強制すると、同じ良性なサンプルを無意識に引き出すため、検出が容易なターゲットラベルが顕著に高い頻度で発生する。
より現実的な脅威を捉えるために、サンプルワイド攻撃を導入する。
従来のアプローチとは異なり、攻撃者は攻撃者によるトリガーを含む入力のみを誤分類することを目的としており、検出を回避するために良質なクエリのグローバルなラベル分布を保存している。
そこで本研究では,攻撃成功を明示的に優先する,新たな優先性を考慮したアライメントアライメント戦略を備えたメタラーニングに基づく攻撃を提案する。
この戦略は、勾配更新を楕円型信頼領域問題として定式化し、攻撃成功と分布ステルスのミスアライメントを緩和するとともに、勾配ミスアライメントの存在下での攻撃目標の効果的な最適化に関する理論的保証を提供する。
CIFAR-10-C, CIFAR-100-C, ImageNet-CのTTAプロトコルに対する大規模な実験により, 攻撃のないTTAデプロイメントシナリオにおいて, 非攻撃ベースラインに整合したラベル分布を維持しながら高い目標達成率を達成することを示す。
さらに,我々の攻撃は既存の防御に対して強い堅牢性を示すことを示す。
関連論文リスト
- Dashed Line Defense: Plug-And-Play Defense Against Adaptive Score-Based Query Attacks [3.206339985805037]
ダッシュラインディフェンス(Dashed Line Defense, DLD)は、適応的なクエリ戦略に対処するために設計された、プラグアンドプレイのポストプロセッシング手法である。
DLDは、観測された損失がどのように真の敵の強さを反映しているかの曖昧さを導入することで、攻撃者がクエリを確実に分析し、適応することを防ぐ。
我々は,DLDの防御能力を理論的に保証し,ImageNetの実験を通じてその有効性を検証する。
論文 参考訳(メタデータ) (2026-02-09T14:02:32Z) - AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - DTA: Distribution Transform-based Attack for Query-Limited Scenario [11.874670564015789]
敵の例を生成する際、従来のブラックボックス攻撃法は攻撃対象モデルからの十分なフィードバックに依存している。
本稿では,攻撃された動作が限られた数のクエリを実行可能であることをシミュレートするハードラベル攻撃を提案する。
提案したアイデアの有効性とDTAの最先端性を検証する実験を行った。
論文 参考訳(メタデータ) (2023-12-12T13:21:03Z) - DALA: A Distribution-Aware LoRA-Based Adversarial Attack against
Language Models [64.79319733514266]
敵攻撃は入力データに微妙な摂動をもたらす可能性がある。
最近の攻撃方法は比較的高い攻撃成功率(ASR)を達成することができる。
そこで本研究では,分散ロラをベースとしたDALA(Adversarial Attack)手法を提案する。
論文 参考訳(メタデータ) (2023-11-14T23:43:47Z) - Stealthy Backdoor Attack via Confidence-driven Sampling [49.72680157684523]
バックドア攻撃は、悪質なトリガをDNNモデルに過剰に挿入することを目的としており、テストシナリオ中に不正な制御を許可している。
既存の方法では防衛戦略に対する堅牢性が欠如しており、主に無作為な試薬を無作為に選別しながら、引き金の盗難を強化することに重点を置いている。
信頼性スコアの低いサンプルを選別し、これらの攻撃を識別・対処する上で、守備側の課題を著しく増大させる。
論文 参考訳(メタデータ) (2023-10-08T18:57:36Z) - Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。
修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。
効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
論文 参考訳(メタデータ) (2022-12-30T18:45:23Z) - Object-fabrication Targeted Attack for Object Detection [54.10697546734503]
物体検出の敵攻撃は 標的攻撃と未標的攻撃を含む。
新たなオブジェクトファブリケーションターゲット攻撃モードは、特定のターゲットラベルを持つ追加の偽オブジェクトをファブリケートする検出器を誤解させる可能性がある。
論文 参考訳(メタデータ) (2022-12-13T08:42:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。