要約
分類器の有限混合物(別名ランダム化アンサンブル)は、敵対的な攻撃に対する堅牢性を改善する方法として提案されています。
ただし、既存の攻撃は、この種の分類器に適していないことが示されています。
この論文では、混合物を原則的に攻撃する問題について説明し、問題の幾何学的分析(有効性と最大性)に基づいて、攻撃の2つの望ましい特性を導入します。
次に、既存の攻撃がこれらの両方のプロパティを満たしていないことを示します。
最後に、バイナリ線形設定での理論的保証を使用して、{\ em latticeクライマー攻撃}と呼ばれる新しい攻撃を導入し、合成および実際のデータセットで実験を実施することでパフォーマンスを実証します。
要約(オリジナル)
Finite mixtures of classifiers (a.k.a. randomized ensembles) have been proposed as a way to improve robustness against adversarial attacks. However, existing attacks have been shown to not suit this kind of classifier. In this paper, we discuss the problem of attacking a mixture in a principled way and introduce two desirable properties of attacks based on a geometrical analysis of the problem (effectiveness and maximality). We then show that existing attacks do not meet both of these properties. Finally, we introduce a new attack called {\em lattice climber attack} with theoretical guarantees in the binary linear setting, and demonstrate its performance by conducting experiments on synthetic and real datasets.
arxiv情報
| 著者 | Lucas Gnecco-Heredia,Benjamin Negrevergne,Yann Chevaleyre |
| 発行日 | 2025-06-12 16:53:32+00:00 |
| arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google