Simultaneously Optimizing Perturbations and Positions for Black-box Adversarial Patch Attacks

要約

敵対的パッチは、ディープ ニューラル ネットワークの堅牢性に深刻なリスクをもたらす現実世界の敵対的攻撃の重要な形態です。
以前の方法は、貼り付け位置を修正しながら摂動値を最適化するか、パッチのコンテンツを修正しながら位置を操作することにより、敵対的パッチを生成します。
これは、位置と摂動の両方が敵対的攻撃にとって重要であることを明らかにしています。
そのために、この論文では、敵対的パッチの位置と摂動を同時に最適化し、ブラックボックス設定で高い攻撃成功率を得る新しい方法を提案します。
技術的には、パッチの位置、パッチの摂動を決定するための事前に設計されたハイパーパラメーターを変数と見なし、強化学習フレームワークを利用して、少数のターゲット モデルから得られる報酬に基づいて最適解を同時に解決します。
クエリの。
顔認識 (FR) タスクで広範な実験が行われ、4 つの代表的な FR モデルの結果は、私たちの方法が攻撃の成功率とクエリ効率を大幅に改善できることを示しています。
さらに、商用 FR サービスおよび物理環境での実験により、その実用的なアプリケーションの価値が確認されています。
また、この手法を交通標識認識タスクに拡張して、その一般化能力を検証します。

要約(オリジナル)

Adversarial patch is an important form of real-world adversarial attack that brings serious risks to the robustness of deep neural networks. Previous methods generate adversarial patches by either optimizing their perturbation values while fixing the pasting position or manipulating the position while fixing the patch’s content. This reveals that the positions and perturbations are both important to the adversarial attack. For that, in this paper, we propose a novel method to simultaneously optimize the position and perturbation for an adversarial patch, and thus obtain a high attack success rate in the black-box setting. Technically, we regard the patch’s position, the pre-designed hyper-parameters to determine the patch’s perturbations as the variables, and utilize the reinforcement learning framework to simultaneously solve for the optimal solution based on the rewards obtained from the target model with a small number of queries. Extensive experiments are conducted on the Face Recognition (FR) task, and results on four representative FR models show that our method can significantly improve the attack success rate and query efficiency. Besides, experiments on the commercial FR service and physical environments confirm its practical application value. We also extend our method to the traffic sign recognition task to verify its generalization ability.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google