When Can Linear Learners be Robust to Indiscriminate Poisoning Attacks?

要約

私たちは、線形学習器に対する無差別ポイズニングを研究します。この攻撃では、誘導されたモデルに高いテストエラーを強制することを目的として、攻撃者がいくつかの細工されたサンプルをトレーニング データに注入します。
一部のデータセットの線形学習者は、防御策がなくても最もよく知られている攻撃に抵抗できるという観察に触発され、データセットが線形学習者に対する無差別ポイズニング攻撃に対して本質的に堅牢であるかどうかをさらに調査します。
理論的なガウス分布については、与えられたポイズニング バジェットで誘導モデルの最大リスクを達成するポイズニング戦略として定義される、最適なポイズニング攻撃の動作を厳密に特徴付けます。
私たちの結果は、クラスごとのデータ分布が低分散で十分に分離されており、許容されるすべてのポイズニング ポイントを含む制約セットのサイズも小さい場合、線形学習器が無差別ポイズニングに対して確かに堅牢であることを証明しています。
これらの発見は、ベンチマーク データセット全体の線形学習者に対する最先端のポイズニング攻撃の経験的攻撃パフォーマンスの大幅な変動を主に説明しており、一部の学習タスクがデータ ポイズニング攻撃に対して脆弱である根本的な理由を理解するための重要な最初の一歩となります。

要約(オリジナル)

We study indiscriminate poisoning for linear learners where an adversary injects a few crafted examples into the training data with the goal of forcing the induced model to incur higher test error. Inspired by the observation that linear learners on some datasets are able to resist the best known attacks even without any defenses, we further investigate whether datasets can be inherently robust to indiscriminate poisoning attacks for linear learners. For theoretical Gaussian distributions, we rigorously characterize the behavior of an optimal poisoning attack, defined as the poisoning strategy that attains the maximum risk of the induced model at a given poisoning budget. Our results prove that linear learners can indeed be robust to indiscriminate poisoning if the class-wise data distributions are well-separated with low variance and the size of the constraint set containing all permissible poisoning points is also small. These findings largely explain the drastic variation in empirical attack performance of the state-of-the-art poisoning attacks on linear learners across benchmark datasets, making an important initial step towards understanding the underlying reasons some learning tasks are vulnerable to data poisoning attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google