Certifiable Black-Box Attack: Ensuring Provably Successful Attack for Adversarial Examples

要約

タイトル：Adversarial Examplesのための保証可能なブラックボックス攻撃：確実に成功する攻撃を保証する

要約：

– 黒箱攻撃は、機械学習モデルを変更するのに強力なポテンシャルを持っていることがわかっている。
– 既存のブラックボックス攻撃は、対象モデルをクエリして反復的にアドバーサルな例を生成したり、ローカルサロゲートモデルの転移性を利用することで生成する。
– これらの攻撃が成功するかどうかは、攻撃者にとって未知である。
– 本論文では、攻撃成功率が保証されたアドバーサルな例を生成するブラックボックス攻撃を研究することを目的としている。
– Certifiable Black-Box Attack Success Rate（CASR）保証を持つアドバーサルな例を作成するために、新しい技術をいくつか提案する。これには、ターゲットモデルをクエリするためのランダム化されたクエリメソッド、スムージングされた自己教師付き摂動による初期化メソッド、よりよい視認性のために、CASR保証アドバーサルな例の摂動サイズを減らす幾何学的シフトメソッドなどが含まれる。
– CIFAR10とImageNetデータセットにおける様々なレベルの防御に対するCertifiable Black-Box Attackの性能を包括的に評価し、その有効性を理論と実験の双方で検証した。

要約(オリジナル)

Black-box adversarial attacks have shown strong potential to subvert machine learning models. Existing black-box adversarial attacks craft the adversarial examples by iteratively querying the target model and/or leveraging the transferability of a local surrogate model. Whether such attack can succeed remains unknown to the adversary when empirically designing the attack. In this paper, to our best knowledge, we take the first step to study a new paradigm of adversarial attacks — certifiable black-box attack that can guarantee the attack success rate of the crafted adversarial examples. Specifically, we revise the randomized smoothing to establish novel theories for ensuring the attack success rate of the adversarial examples. To craft the adversarial examples with the certifiable attack success rate (CASR) guarantee, we design several novel techniques, including a randomized query method to query the target model, an initialization method with smoothed self-supervised perturbation to derive certifiable adversarial examples, and a geometric shifting method to reduce the perturbation size of the certifiable adversarial examples for better imperceptibility. We have comprehensively evaluated the performance of the certifiable black-box attack on CIFAR10 and ImageNet datasets against different levels of defenses. Both theoretical and experimental results have validated the effectiveness of the proposed certifiable attack.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI