要約
疎または$ell_0$敵対的攻撃は、特徴の未知の部分集合を任意に摂動する。ell_0$ロバスト性解析は、特徴の種類やスケールが異なる異種(表形式)データに特に適している。最新の$ell_0$認証防御は、ランダム化平滑化に基づいており、回避攻撃のみに適用される。本論文は、$ell_0$回避攻撃、バックドア攻撃、ポイズニング攻撃の連合に対する認証された防御である、特徴分割集約(feature partition aggregation: FPA)を提案する。FPAは、サブモデルが不連続な特徴セットで訓練されたアンサンブルを介して、より強力な頑健性保証を生成する。最新の$ell_0$防御と比較して、FPAは最大3,000${times}$高速で、より大きな中央値ロバスト性保証(例えば、CIFAR10では13ピクセルover 10、MNISTでは12ピクセルover 10、Weatherでは4特徴over 1、Amesでは3特徴over 1の中央値認証)を提供し、FPAは実質的に無料で追加次元のロバスト性を提供する。
要約(オリジナル)
Sparse or $\ell_0$ adversarial attacks arbitrarily perturb an unknown subset of the features. $\ell_0$ robustness analysis is particularly well-suited for heterogeneous (tabular) data where features have different types or scales. State-of-the-art $\ell_0$ certified defenses are based on randomized smoothing and apply to evasion attacks only. This paper proposes feature partition aggregation (FPA) — a certified defense against the union of $\ell_0$ evasion, backdoor, and poisoning attacks. FPA generates its stronger robustness guarantees via an ensemble whose submodels are trained on disjoint feature sets. Compared to state-of-the-art $\ell_0$ defenses, FPA is up to 3,000${\times}$ faster and provides larger median robustness guarantees (e.g., median certificates of 13 pixels over 10 for CIFAR10, 12 pixels over 10 for MNIST, 4 features over 1 for Weather, and 3 features over 1 for Ames), meaning FPA provides the additional dimensions of robustness essentially for free.
arxiv情報
著者 | Zayd Hammoudeh,Daniel Lowd |
発行日 | 2023-07-03 05:35:48+00:00 |
arxivサイト | arxiv_id(pdf) |