要約
ディープ ニューラル ネットワーク (DNN) は、攻撃者がトレーニング済みのモデルに対してクエリを実行し、出力を受け取ることしかできないブラック ボックス シナリオなど、さまざまなシナリオで敵対的データに敏感です。
敵対的インスタンスを作成するための既存のブラックボックス手法はコストがかかり、多くの場合、勾配推定または代替ネットワークのトレーニングを使用します。
この論文では、\textbf{Qu}ery-Efficient \textbf{E}volutiona\textbf{ry} \textbf{Attack}、\textit{QuEry Attack} という非標的型のスコアベースのブラックボックス攻撃を紹介します。
QuEry Attack は、勾配のない最適化問題で使用できる新しい目的関数に基づいています。
攻撃は、分類子の出力ロジットへのアクセスのみを必要とするため、勾配マスキングの影響を受けません。
追加情報は必要なく、私たちの方法を実際の状況により適したものにします。
Inception-v3、ResNet-50、および VGG-16-BN の 3 つの異なる最先端モデルを使用して、MNIST、CIFAR10、および ImageNet の 3 つのベンチマーク データセットに対してそのパフォーマンスをテストします。
さらに、非差分変換防御と最先端の堅牢なモデルに対する QuEry Attack のパフォーマンスを評価します。
私たちの結果は、精度スコアとクエリ効率の両方の点で、QuEry 攻撃の優れたパフォーマンスを示しています。
要約(オリジナル)
Deep neural networks (DNNs) are sensitive to adversarial data in a variety of scenarios, including the black-box scenario, where the attacker is only allowed to query the trained model and receive an output. Existing black-box methods for creating adversarial instances are costly, often using gradient estimation or training a replacement network. This paper introduces \textbf{Qu}ery-Efficient \textbf{E}volutiona\textbf{ry} \textbf{Attack}, \textit{QuEry Attack}, an untargeted, score-based, black-box attack. QuEry Attack is based on a novel objective function that can be used in gradient-free optimization problems. The attack only requires access to the output logits of the classifier and is thus not affected by gradient masking. No additional information is needed, rendering our method more suitable to real-life situations. We test its performance with three different state-of-the-art models — Inception-v3, ResNet-50, and VGG-16-BN — against three benchmark datasets: MNIST, CIFAR10 and ImageNet. Furthermore, we evaluate QuEry Attack’s performance on non-differential transformation defenses and state-of-the-art robust models. Our results demonstrate the superior performance of QuEry Attack, both in terms of accuracy score and query efficiency.
arxiv情報
著者 | Raz Lapid,Zvika Haramaty,Moshe Sipper |
発行日 | 2022-09-13 11:19:27+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google