Skip to main content
QUICK REVIEW

[論文レビュー] Output Diversified Initialization for Adversarial Attacks

Yusuke Tashiro, Yang Song|arXiv (Cornell University)|Mar 15, 2020
Domain Adaptation and Few-Shot Learning被引用数 5
ひとこと要約

本稿では、敵対的攻撃の初期化段階で、ターゲットモデルの出力多様性を最大化する勾配ベースの初期化戦略である出力多様化サンプリング(ODS)を提案する。摂動を生成することでモデルの予測を多様な方向に向け、白ボックスおよびブラックボックス攻撃の両方の効率を向上させ、ImageNetではクエリ数を最大50%まで削減する。

ABSTRACT

Adversarial attacks often involve random perturbations of the inputs drawn from uniform or Gaussian distributions, e.g., to initialize optimization-based white-box attacks or generate update directions in black-box attacks. These simple perturbations, however, could be sub-optimal as they are agnostic to the model being attacked. To improve the efficiency of these attacks, we propose Output Diversified Sampling (ODS), a novel sampling strategy that attempts to maximize diversity in the target model's outputs among the generated samples. While ODS is a gradient-based strategy, the diversity offered by ODS is transferable and can be helpful for both white-box and black-box attacks via surrogate models. Empirically, we demonstrate that ODS significantly improves the performance of existing white-box and black-box attacks. In particular, ODS reduces the number of queries needed for state-of-the-art black-box attacks on ImageNet by a factor of two.

研究の動機と目的

  • 標準的なランダム摂動ではモデルに意識された初期化が欠如しているため、敵対的攻撃の非効率性を是正すること。
  • 初期摂動における出力多様性を活用することで、白ボックスおよびブラックボックス敵対的攻撃の性能を向上させること。
  • 攻撃タイプに跨る転送性を有する勾配ベースのサンプリング戦略を構築すること。
  • 特にImageNetのような大規模データセットにおいて、ブラックボックス攻撃に必要なクエリ数を削減すること。

提案手法

  • ODSは、複数のサンプルに対してターゲットモデルの出力ログティト(logits)の多様性を最大化するように最適化することで、初期摂動を生成する。
  • 勾配ベースの最適化を用いて、モデル予測のエントロピーまたは分散を最大化する摂動をサンプリングする。
  • 白ボックスおよびブラックボックス攻撃フレームワークと両立可能であり、特にサーヴィレートモデルに依存するアプローチに適している。
  • 初期化後は真のモデルの勾配へのアクセスを必要としないため、クエリ効率の高いブラックボックス攻撃に適している。
  • 多様性の目的関数は、モデルの出力確率またはログティトを用いて計算され、異なる誤分類方向への探索を促進する。
  • 初期化後の具体的な攻撃アルゴリズムに依存しないため、即座に統合可能なプラグアンドプレイ型である。

実験結果

リサーチクエスチョン

  • RQ1初期摂動における出力多様性が敵対的攻撃の成功率を向上させるか?
  • RQ2ODSは、ブラックボックス攻撃におけるクエリ効率という観点で、標準的なランダム初期化と比べてどのように異なるか?
  • RQ3ODSが誘発する多様性は、異なる攻撃設定やサーヴィレートモデルに跨って転送可能か?
  • RQ4ODSは、ImageNetのような大規模ベンチマークで攻撃性能を向上させるか?
  • RQ5ODSは、既存の白ボックスおよびブラックボックス攻撃手法と効果的に組み合わせられるか?

主な発見

  • ODSは、ImageNetにおける最先端のブラックボックス攻撃のクエリ効率を顕著に向上させ、クエリ数を半分に削減する。
  • 多様性を促進する初期化により、白ボックスおよびブラックボックス攻撃の両方で収束が速くなり、成功率も向上する。
  • ODSはブラックボックス攻撃におけるサーヴィレートモデルを用いても効果的であり、強い転送性を示す。
  • 攻撃フェーズ中に追加の勾配計算を必要とせず、攻撃性能を向上させる。
  • 実験的結果により、初期摂動における出力多様性が、敵対的方向のより効果的な探索をもたらすことが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。