Attackar: Attack of the Evolutionary Adversary

要約

ディープ ニューラル ネットワーク (DNN) は、攻撃者がトレーニング済みのモデルに対してクエリを実行し、出力を受け取ることしかできないブラック ボックス シナリオなど、さまざまなシナリオで敵対的データに敏感です。
敵対的インスタンスを作成するための既存のブラックボックス手法はコストがかかり、多くの場合、勾配推定または代替ネットワークのトレーニングを使用します。
この論文では、進化したスコアベースのブラックボックス攻撃である \textit{Attacker} を紹介します。
Attackar は、勾配のない最適化問題で使用できる新しい目的関数に基づいています。
攻撃は、分類子の出力ロジットへのアクセスのみを必要とするため、勾配マスキングの影響を受けません。
追加情報は必要なく、私たちの方法を実際の状況により適したものにします。
Inception-v3、ResNet-50、および VGG-16-BN の 3 つの異なる最先端モデルを使用して、MNIST、CIFAR10、および ImageNet の 3 つのベンチマーク データセットに対してそのパフォーマンスをテストします。
さらに、非差分変換防御と最先端の堅牢なモデルに対する Attackar のパフォーマンスを評価します。
私たちの結果は、精度スコアとクエリ効率の両方の点で、Attackar の優れたパフォーマンスを示しています。

要約(オリジナル)

Deep neural networks (DNNs) are sensitive to adversarial data in a variety of scenarios, including the black-box scenario, where the attacker is only allowed to query the trained model and receive an output. Existing black-box methods for creating adversarial instances are costly, often using gradient estimation or training a replacement network. This paper introduces \textit{Attackar}, an evolutionary, score-based, black-box attack. Attackar is based on a novel objective function that can be used in gradient-free optimization problems. The attack only requires access to the output logits of the classifier and is thus not affected by gradient masking. No additional information is needed, rendering our method more suitable to real-life situations. We test its performance with three different state-of-the-art models — Inception-v3, ResNet-50, and VGG-16-BN — against three benchmark datasets: MNIST, CIFAR10 and ImageNet. Furthermore, we evaluate Attackar’s performance on non-differential transformation defenses and state-of-the-art robust models. Our results demonstrate the superior performance of Attackar, both in terms of accuracy score and query efficiency.

arxiv情報

著者 Raz Lapid,Zvika Haramaty,Moshe Sipper
発行日 2022-08-17 13:57:23+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CV, cs.NE パーマリンク