Exploring Non-additive Randomness on ViT against Query-Based Black-Box Attacks

要約

ディープ ニューラル ネットワークは、小さく知覚できない摂動によって簡単にだまされてしまう可能性があります。
クエリベースのブラックボックス攻撃 (QBBA) は、基礎となるモデルへのアクセスを必要とせず、画像クエリのモデル出力確率を使用して摂動を作成できます。
QBBA は、現実世界のアプリケーションに現実的な脅威をもたらします。
最近では、QBBA に対抗するためにさまざまなタイプの堅牢性が検討されています。
この研究では、まず QBBA に対する確率的防御戦略を分類します。
私たちの分類に従って、QBBA から守るためにモデルの非加法ランダム性を調査することを提案します。
具体的には、柔軟なアーキテクチャに基づいた未開発のビジョン トランスフォーマーに焦点を当てています。
広範な実験により、提案された防御アプローチがパフォーマンスをあまり犠牲にすることなく効果的な防御を達成できることが示されています。

要約(オリジナル)

Deep Neural Networks can be easily fooled by small and imperceptible perturbations. The query-based black-box attack (QBBA) is able to create the perturbations using model output probabilities of image queries requiring no access to the underlying models. QBBA poses realistic threats to real-world applications. Recently, various types of robustness have been explored to defend against QBBA. In this work, we first taxonomize the stochastic defense strategies against QBBA. Following our taxonomy, we propose to explore non-additive randomness in models to defend against QBBA. Specifically, we focus on underexplored Vision Transformers based on their flexible architectures. Extensive experiments show that the proposed defense approach achieves effective defense, without much sacrifice in performance.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google