Data-free Black-box Attack based on Diffusion Model

要約

データフリー ブラック ボックス攻撃ではターゲット モデルのトレーニング データが利用できないため、最新のスキームでは GAN を利用して代替モデルをトレーニングするためのデータを生成します。
ただし、これらの GAN ベースのスキームは、代替トレーニング プロセス中にターゲット モデルごとにジェネレーターを再トレーニングする必要があるため、トレーニング効率が低く、生成品質も低いという問題があります。
これらの制限を克服するために、拡散モデルを利用してデータを生成することを検討し、代替トレーニングの効率と精度を向上させるために拡散モデルに基づくデータフリーのブラックボックス攻撃スキームを提案します。
拡散モデルによって生成されたデータは高品質を示しますが、多様なドメイン分布を示し、ターゲット モデルの識別基準を満たさないサンプルが多く含まれています。
拡散モデルによるターゲット モデルに適したデータの生成をさらに容易にするために、データ生成において拡散モデルをガイドする潜在コード拡張 (LCA) 手法を提案します。
LCA のガイダンスにより、拡散モデルによって生成されたデータは、ターゲット モデルの識別基準を満たすだけでなく、高い多様性も示します。
このデータを活用することで、より効率的に対象モデルに近似した代替モデルを学習させることが可能となります。
広範な実験により、当社の LCA は、さまざまなターゲット モデルに対する GAN ベースのスキームと比較して、より高い攻撃成功率を達成し、必要なクエリ バジェットが少なくなることが実証されています。

要約(オリジナル)

Since the training data for the target model in a data-free black-box attack is not available, most recent schemes utilize GANs to generate data for training substitute model. However, these GANs-based schemes suffer from low training efficiency as the generator needs to be retrained for each target model during the substitute training process, as well as low generation quality. To overcome these limitations, we consider utilizing the diffusion model to generate data, and propose a data-free black-box attack scheme based on diffusion model to improve the efficiency and accuracy of substitute training. Despite the data generated by the diffusion model exhibits high quality, it presents diverse domain distributions and contains many samples that do not meet the discriminative criteria of the target model. To further facilitate the diffusion model to generate data suitable for the target model, we propose a Latent Code Augmentation (LCA) method to guide the diffusion model in generating data. With the guidance of LCA, the data generated by the diffusion model not only meets the discriminative criteria of the target model but also exhibits high diversity. By utilizing this data, it is possible to train substitute model that closely resemble the target model more efficiently. Extensive experiments demonstrate that our LCA achieves higher attack success rates and requires fewer query budgets compared to GANs-based schemes for different target models.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google