論文の概要: Enhancing Stateful Detection of Adversarial Attacks with Soft-labels' Temporality and Robust Similarity Approximations
- arxiv url: http://arxiv.org/abs/2606.21592v1
- Date: Fri, 19 Jun 2026 16:49:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-26 06:49:52.697272
- Title: Enhancing Stateful Detection of Adversarial Attacks with Soft-labels' Temporality and Robust Similarity Approximations
- Title(参考訳): ソフトラベルの時間差とロバスト類似性近似による敵攻撃のステートフル検出
- Authors: De Zhang Lee, Han Fang, Ee-Chien Chang,
- Abstract要約: Stateful Detection (SD)は、ブラックボックスの敵からのクエリを含むクエリのシーケンスを決定することで、敵攻撃を緩和する。
BlacklightやPIHAといった最近の研究は、クエリ類似性を利用してそのようなクエリを検出する。
本稿では,時間的情報,特に分類ソフトラベルの時間的相関が敵攻撃の顕著な特徴であることを示す。
- 参考スコア(独自算出の注目度): 25.36313126508004
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Stateful Detection (SD) mitigates adversarial attacks by determining whether a sequence of queries contains queries from a black-box adversary. Recent works, such as Blacklight and PIHA utilize query similarity to detect such queries. In this paper, we observe that temporal information, in particular, the temporal correlation of the classification soft labels, is a prominent characteristic of adversarial attacks and can be leveraged to reduce false positive rates. Moreover, we point out a potential vulnerability in SD implementation. Many SD systems identify similar queries according to some implicit, computationally expensive metric. To improve efficiency, these systems often adopt an approximate similarity function as substitute. This discrepancy could be exploited by crafting queries that appear dissimilar under the approximation but are close in the intended metric, thereby evading detection. We refer to this as an ``adversarial attack'' on the approximation function, and demonstrate it through a lightweight attack on Blacklight's similarity function. Based on the above observations, we propose a two-phase approach. The first phase identifies subsequences of queries with high similarity, incorporating randomness to prevent the aforementioned ``adversarial attacks''. The second phase analyzes temporal correlation of the soft-labels to further validate the presence of the adversary's queries. Experimental results show that the framework detects adversarial queries generated by Boundary Attack, HSJA, SimBA, Square Attack with true positive rate (TPR) reaching 1.00, while maintaining a false positive rate (FPR) of at most 0.06. Additionally, the method is robust against OARS which is an adaptive attack.
- Abstract(参考訳): Stateful Detection (SD)は、ブラックボックスの敵からのクエリを含むクエリのシーケンスを決定することで、敵攻撃を緩和する。
BlacklightやPIHAといった最近の研究は、クエリ類似性を利用してそのようなクエリを検出する。
本稿では, 時間的情報, 特に分類ソフトラベルの時間的相関が, 敵攻撃の顕著な特徴であり, 偽陽性率の低減に有効であることを示す。
さらに,SD実装における潜在的な脆弱性を指摘する。
多くのSDシステムは暗黙的、計算的に高価なメトリクスに従って類似したクエリを識別する。
効率を改善するために、これらのシステムは代用として近似類似性関数を採用することが多い。
この不一致は、近似の下で異なるように見えるクエリを作成することで悪用されるが、意図した計量に近づき、検出を避けることができる。
我々はこれを近似関数の ‘adversarial attack'' と呼び、Blacklightの類似関数に対する軽量な攻撃を通じてそれを実証する。
以上の観測結果に基づいて,2相アプローチを提案する。
第1フェーズでは、上記の 'adversarial attack''' を防ぐためにランダム性を取り入れ、高い類似性を持つクエリのサブシーケンスを識別する。
第2フェーズは、ソフトラベルの時間的相関を分析し、相手のクエリの存在をさらに検証する。
実験結果から, 境界攻撃, HSJA, SimBA, Square Attack が生成した対向クエリを, 真正の確率 (TPR) が 1.00 に達するまで検出し, 偽正の確率 (FPR) は 0.06 であることがわかった。
さらに、この手法は適応攻撃であるOARSに対して堅牢である。
関連論文リスト
- How Worst-Case Are Adversarial Attacks? Linking Adversarial and Perturbation Robustness [4.60092781176058]
アドリア攻撃はモデル脆弱性の特定に広く用いられているが、ランダムな摂動に対する堅牢性のためのプロキシとしての有効性については議論が続いている。
逆の例が、同じ大きさの摂動下での誤予測リスクを代表的に見積もっているかどうかを問う。
本研究では, 統計的に均一な雑音に近づいた体制において, 脆弱性を調査するための攻撃戦略を提案することにより, この接続の限界について検討する。
論文 参考訳(メタデータ) (2026-01-20T22:24:47Z) - AdvQDet: Detecting Query-Based Adversarial Attacks with Adversarial Contrastive Prompt Tuning [93.77763753231338]
CLIP画像エンコーダを微調整し、2つの中間対向クエリに対して同様の埋め込みを抽出するために、ACPT(Adversarial Contrastive Prompt Tuning)を提案する。
我々は,ACPTが7つの最先端クエリベースの攻撃を検出できることを示す。
また,ACPTは3種類のアダプティブアタックに対して堅牢であることを示す。
論文 参考訳(メタデータ) (2024-08-04T09:53:50Z) - Query Provenance Analysis: Efficient and Robust Defense against Query-based Black-box Attacks [11.32992178606254]
我々は、より堅牢で効率的なステートフルディフェンスモデル(SDM)のための新しいアプローチ、QPA(Query Provenance Analysis)を提案する。
QPAは、クエリ間の履歴関係をシーケンスの特徴としてカプセル化し、良性クエリシーケンスと逆性クエリシーケンスの基本的な違いをキャプチャする。
我々は,6つのクエリベースのブラックボックスアタックアルゴリズムを用いて,広く使用されている4つのデータセットに対して,2つのベースラインであるBlackLightとPIHAと比較した。
論文 参考訳(メタデータ) (2024-05-31T06:56:54Z) - Mitigating LLM Hallucinations via Conformal Abstention [70.83870602967625]
我々は,大言語モデルが一般ドメインでの応答をいつ無視すべきかを決定するための,原則化された手順を開発する。
我々は、幻覚率(エラー率)の厳密な理論的保証の恩恵を受けるため、共形予測手法を活用して、禁忌手順を開発する。
実験によって得られた共形禁忌法は, 種々の閉書, オープンドメイン生成質問応答データセットに, 幻覚率を確実に拘束する。
論文 参考訳(メタデータ) (2024-04-04T11:32:03Z) - Token-Level Adversarial Prompt Detection Based on Perplexity Measures
and Contextual Information [67.78183175605761]
大規模言語モデルは、敵の迅速な攻撃に影響を受けやすい。
この脆弱性は、LLMの堅牢性と信頼性に関する重要な懸念を浮き彫りにしている。
トークンレベルで敵のプロンプトを検出するための新しい手法を提案する。
論文 参考訳(メタデータ) (2023-11-20T03:17:21Z) - On the Universal Adversarial Perturbations for Efficient Data-free
Adversarial Detection [55.73320979733527]
本稿では,UAPに対して正常サンプルと逆サンプルの異なる応答を誘導する,データに依存しない逆検出フレームワークを提案する。
実験結果から,本手法は様々なテキスト分類タスクにおいて,競合検出性能を実現することが示された。
論文 参考訳(メタデータ) (2023-06-27T02:54:07Z) - On Trace of PGD-Like Adversarial Attacks [77.75152218980605]
敵対的攻撃は、ディープラーニングアプリケーションに対する安全性とセキュリティ上の懸念を引き起こす。
モデルの勾配一貫性を反映した適応応答特性(ARC)特性を構築する。
私たちの方法は直感的で、軽量で、非侵襲的で、データ不要です。
論文 参考訳(メタデータ) (2022-05-19T14:26:50Z) - ADC: Adversarial attacks against object Detection that evade Context
consistency checks [55.8459119462263]
文脈整合性チェックさえも、適切に構築された敵の例に対して脆弱であることを示す。
このような防御を覆す実例を生成するための適応型フレームワークを提案する。
我々の結果は、コンテキストを堅牢にモデル化し、一貫性をチェックする方法はまだ未解決の問題であることを示している。
論文 参考訳(メタデータ) (2021-10-24T00:25:09Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。