[論文レビュー] Adversarial Attacks for Tabular Data: Application to Fraud Detection and Imbalanced Data
本論文は、非均衡な表形式の詐欺データに対して最先端の敵対的攻撃技術を適用し、編集可能性制約を持つモデル非依存の攻撃と独自の不可知性ノルムを提案する。高い攻撃成功率と現実的な敵対的例が得られ、実システムへ転送可能である。
Guaranteeing the security of transactional systems is a crucial priority of\nall institutions that process transactions, in order to protect their\nbusinesses against cyberattacks and fraudulent attempts. Adversarial attacks\nare novel techniques that, other than being proven to be effective to fool\nimage classification models, can also be applied to tabular data. Adversarial\nattacks aim at producing adversarial examples, in other words, slightly\nmodified inputs that induce the Artificial Intelligence (AI) system to return\nincorrect outputs that are advantageous for the attacker. In this paper we\nillustrate a novel approach to modify and adapt state-of-the-art algorithms to\nimbalanced tabular data, in the context of fraud detection. Experimental\nresults show that the proposed modifications lead to a perfect attack success\nrate, obtaining adversarial examples that are also less perceptible when\nanalyzed by humans. Moreover, when applied to a real-world production system,\nthe proposed techniques shows the possibility of posing a serious threat to the\nrobustness of advanced AI-based fraud detection procedures.\n
研究の動機と目的
- 詐欺検知システムにおけるセキュリティ上の懸念を動機づけ、不均衡なクラス分布下の表形式データに対する敵対的脅威を研究する。
- DNN以外のさまざまなアーキテクチャにも適用可能なモデル非依存の攻撃フレームワークを開発する。
- 表形式データの実務的制約(特徴の編集性、データ型、ヒトの検査官に対する不可知性)を扱う。
- 詐欺検知閾値に適合するよう既存の攻撃(Boundary、HopSkipJump、ZOO)と独自の損失/ノルムの修正を提案する。
提案手法
- surrogate-modelスタイルのモデル非依存アプローチを用いて、勾配なし攻撃を表形式データへ適用する。
- 詐欺検知閾値tauを[0,1]で反映させる、カスタム決定閾値認識のストップ条件を導入する。
- 詐欺検知閾値に合わせたZOO用の新しい損失関数を設計する(f(t) = max([M(t)]_1 - tau, -nu))。
- どの特徴量がユーザー編集可能でどれが非編集可能かを守る編集可能性制約を課す。
- 攻撃サンプルを現実的に保つため、データ型固有の修正(ブール値、整数、正値、ホットエンコードされたフィールド)を強制する。
- 特徴量がチェックされるかどうかとモデルの重要度に基づき摂動を重み付けする独自の不可知性ノルムを導入する(n = || p( alpha h + beta [(1-h)(1-v) + h v] ) ||_gamma )。
実験結果
リサーチクエスチョン
- RQ1不均衡な表形式詐欺データに対して、モデル非依存アプローチを用いて敵対的サンプルを効果的に生成できるか。
- RQ2編集可能性の制約とデータ型の修正は、敵対サンプルの現実性と成功率にどのような影響を与えるか。
- RQ3カスタム閾値認識評価と詐欺に焦点を当てた損失関数は、ヒトに検知されやすい摂動を減らしつつ攻撃成功率を改善するか。
- RQ4敵対サンプルは実運用の詐欺検知モデルへ転送可能か。
主な発見
- カスタム閾値と制約を適用した場合、複数の設定でBoundary、HopSkipJump、ZOOすべてで100%の成功を達成することがある。
- 独自の不可知性ノルムを使用すると、人間が確認するフィールドへの摂動を大幅に削減できる(例:ノルムを用いると checked-field 摂動が64%削減される)。
- 編集可能性制約を課すと非編集可能フィールドへの変更が排除され、各手法で完全に適合した敵対サンプルを得られる。
- 現実的な設定で、少数の摂動フィールドのみを含む敵対サンプルが得られ、単一属性の変更でローン審査をひっくり返すケースも含まれる。
- このアプローチは展開済みの本番システムでの敵対的成功を示す転送性を示し、成功率は13.6%であった。
- 研究は修正された構成下で完璧な攻撃成功率を報告し、AIベースの詐欺検知への潜在的脅威を示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。