Transferability Ranking of Adversarial Examples

要約

ブラック ボックス シナリオにおける敵対的な転送可能性には、独特の課題があります。攻撃者は代理モデルを使用して敵対的な例を作成できますが、これらの例がターゲット モデルを侵害するかどうかについては保証がありません。
これまで、成功を確認する一般的な方法は、作成されたサンプルを被害者モデル上で直接試行錯誤してテストすることでした。
ただし、このアプローチでは試行のたびに検出される危険があり、攻撃者は最初の試行を完璧にするか、暴露に直面するかのどちらかを強いられます。
私たちの論文では、転送攻撃プロセスを改良するランキング戦略を導入し、攻撃者が被害者のシステムで試行を繰り返すことなく成功の可能性を推定できるようにします。
一連の多様な代理モデルを活用することで、私たちの方法は敵対的な例の移転可能性を予測できます。
この戦略は、攻撃で使用する最適なサンプルを選択するか、特定のサンプルに適用する最適な摂動を選択するために使用できます。
私たちの戦略を使用することで、敵対的な例の転送可能性を、ランダムな選択に似たわずか 20% から上限近くのレベルまで高めることができ、一部のシナリオでは 100% の成功率を達成することさえできました。
この大幅な改善は、さまざまなアーキテクチャに共通する脆弱性を明らかにするだけでなく、サロゲートベースの攻撃の脅威を増大させる検出可能な試行錯誤戦術を攻撃者が回避できることも示しています。

要約(オリジナル)

Adversarial transferability in black-box scenarios presents a unique challenge: while attackers can employ surrogate models to craft adversarial examples, they lack assurance on whether these examples will successfully compromise the target model. Until now, the prevalent method to ascertain success has been trial and error-testing crafted samples directly on the victim model. This approach, however, risks detection with every attempt, forcing attackers to either perfect their first try or face exposure. Our paper introduces a ranking strategy that refines the transfer attack process, enabling the attacker to estimate the likelihood of success without repeated trials on the victim’s system. By leveraging a set of diverse surrogate models, our method can predict transferability of adversarial examples. This strategy can be used to either select the best sample to use in an attack or the best perturbation to apply to a specific sample. Using our strategy, we were able to raise the transferability of adversarial examples from a mere 20% – akin to random selection-up to near upper-bound levels, with some scenarios even witnessing a 100% success rate. This substantial improvement not only sheds light on the shared susceptibilities across diverse architectures but also demonstrates that attackers can forego the detectable trial-and-error tactics raising increasing the threat of surrogate-based attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google