要約
ディープラーニング(DL)は、安全性やセキュリティが重要なアプリケーションで使用できるまでに急速に成熟しつつある。しかし、人間の目には検出できない敵対的なサンプルは、モデルの誤動作を引き起こし、そのようなアプリケーションの性能を損なう深刻な脅威となる。DLモデルの頑健性に取り組むことは、敵対的攻撃を理解し防御する上で極めて重要である。本研究では、よく知られたデータセットにおける様々なモデルアーキテクチャに対する敵対的攻撃と防御の効果を調べるために、包括的な実験を行う。我々の研究は、SimBA、HopSkipJump、MGAAttack、境界攻撃などのブラックボックス攻撃と、ビットスクイーズ、メディアンスムージング、JPEGフィルタなどのプリプロセッサベースの防御メカニズムに焦点を当てている。様々なモデルで実験した結果、攻撃に必要なノイズのレベルは、レイヤー数が増加するにつれて増加することが実証された。さらに、攻撃の成功率はレイヤー数が増加するにつれて低下する。このことは、モデルの複雑さと頑健性が有意な関係にあることを示している。多様性と頑健性の関係を調査するため、多様なモデルを用いた実験により、パラメータ数が多いことが高い頑健性を意味するわけではないことが示された。我々の実験は、モデルのロバストネスに対する訓練データセットの影響を示すために拡張された。ImageNet-1000、CIFAR-100、CIFAR-10などの様々なデータセットを用いてブラックボックス攻撃を評価する。モデルの複雑性や訓練データセットなど、分析の多次元性を考慮し、モデルが防御を適用した場合のブラックボックス攻撃の振る舞いを調べた。その結果、防御戦略を適用することで、攻撃の有効性を大幅に低減できることが示された。本研究は、様々な攻撃や防御に対するDLモデルの頑健性についての詳細な分析と洞察を提供する。
要約(オリジナル)
Deep Learning (DL) is rapidly maturing to the point that it can be used in safety- and security-crucial applications. However, adversarial samples, which are undetectable to the human eye, pose a serious threat that can cause the model to misbehave and compromise the performance of such applications. Addressing the robustness of DL models has become crucial to understanding and defending against adversarial attacks. In this study, we perform comprehensive experiments to examine the effect of adversarial attacks and defenses on various model architectures across well-known datasets. Our research focuses on black-box attacks such as SimBA, HopSkipJump, MGAAttack, and boundary attacks, as well as preprocessor-based defensive mechanisms, including bits squeezing, median smoothing, and JPEG filter. Experimenting with various models, our results demonstrate that the level of noise needed for the attack increases as the number of layers increases. Moreover, the attack success rate decreases as the number of layers increases. This indicates that model complexity and robustness have a significant relationship. Investigating the diversity and robustness relationship, our experiments with diverse models show that having a large number of parameters does not imply higher robustness. Our experiments extend to show the effects of the training dataset on model robustness. Using various datasets such as ImageNet-1000, CIFAR-100, and CIFAR-10 are used to evaluate the black-box attacks. Considering the multiple dimensions of our analysis, e.g., model complexity and training dataset, we examined the behavior of black-box attacks when models apply defenses. Our results show that applying defense strategies can significantly reduce attack effectiveness. This research provides in-depth analysis and insight into the robustness of DL models against various attacks, and defenses.
arxiv情報
| 著者 | Firuz Juraev,Mohammed Abuhamad,Eric Chan-Tin,George K. Thiruvathukal,Tamer Abuhmed |
| 発行日 | 2024-05-03 09:40:47+00:00 |
| arxivサイト | arxiv_id(pdf) |