[論文レビュー] Query-efficient Meta Attack to Deep Neural Networks
本稿では、メタラーニングを用いて過去の攻撃パターンから一般化可能な事前知識を抽出することで、深層ニューラルネットワークに対するブラックボックス攻撃におけるクエリ効率を向上させるメタアタック手法を提案する。座標単位の勾配推定を用いて少数のクエリでメタアタッカーをファインチューニングすることで、MNIST、CIFAR10、tiny-ImageNetのあらゆる設定において、最先端のベースラインと比較して著しく少ないクエリ数で高い攻撃成功率を達成する。
Black-box attack methods aim to infer suitable attack patterns to targeted DNN models by only using output feedback of the models and the corresponding input queries. However, due to lack of prior and inefficiency in leveraging the query and feedback information, existing methods are mostly query-intensive for obtaining effective attack patterns. In this work, we propose a meta attack approach that is capable of attacking a targeted model with much fewer queries. Its high queryefficiency stems from effective utilization of meta learning approaches in learning generalizable prior abstraction from the previously observed attack patterns and exploiting such prior to help infer attack patterns from only a few queries and outputs. Extensive experiments on MNIST, CIFAR10 and tiny-Imagenet demonstrate that our meta-attack method can remarkably reduce the number of model queries without sacrificing the attack performance. Besides, the obtained meta attacker is not restricted to a particular model but can be used easily with a fast adaptive ability to attack a variety of models.The code of our work is available at https://github.com/dydjw9/MetaAttack_ICLR2020/.
研究の動機と目的
- 限られた出力フィードバックを低効率に利用する既存のブラックボックス攻撃手法の高いクエリコストを是正すること。
- 過去の攻撃パターンから一般化可能な事前知識を抽出・活用するメタラーニングベースのアプローチを開発すること。
- 少数のクエリで新しいターゲットモデルに迅速に適応できるように、ファイントゥーニングによるメタアタッカーのファインチューニングを可能にすること。
- クエリ数を削減しつつ、高い攻撃成功率と低い敵対的摂動の大きさを達成すること。
- 再訓練を再び行う必要なく、多様なモデルやデータセットに一般化可能なメタアタッカーを保証すること。
提案手法
- 異なるアーキテクチャ間の勾配パターンの事前分布を学習するため、事前学習済みモデルのセットを用いて、MAMLスタイルのメタラーニングでメタアタッカーを訓練する。
- ブラックボックスモデルが返す上位k個のクラス確率からのみ、座標単位の勾配推定を用いて勾配を近似する。
- ターゲットモデルに対して少数のクエリのみを用いて、内部パラメータをターゲットモデルの勾配分布に適応させるために、メタアタッカーをファインチューニングする。
- ファインチューニッシュされたメタアタッカーから得た推定勾配を用いて、敵対的ノイズを更新することで、効率的かつ標的の摂動探索を可能にする。
- メタトレーニング済みモデルの事前知識を最適化のガイドとして活用することで、効果的な敵対的例を発見するためのクエリ数を削減する。
- メタトレーニング中にハイパーパrameter q(上位kスコア)とβ(学習率スケーリング)を調整することで、クエリ効率と攻撃品質のバランスを取る。
実験結果
リサーチクエスチョン
- RQ1過去の攻撃から得た勾配パターンの事前分布を構築するためにメタラーニングを効果的に用いることができるか?
- RQ2再トレーニングを必要とせずに、メタトレーニング済みアタッカーは異なるデータセットやモデルアーキテクチャにどの程度一般化できるか?
- RQ3クエリ数、成功率、摂動の大きさの観点から、本手法は最先端のクエリ効率の良いブラックボックス攻撃と比較してどのように差をつけるか?
- RQ4新しいターゲットモデルに対してメタアタッカーを少数のクエリでファインチューニングすることで、成功に必要なクエリ数を著しく削減できるか?
- RQ5q や β などのハイパーパrameterの設定は、クエリ効率、攻撃成功率、摂動サイズのどのバランスを最適化するか?
主な発見
- CIFAR10とVGG19を用いた実験で、本手法は3,667クエリで0.93の成功率を達成した。これはZoo(119,648)、AutoZoom(53,778)、Opt-attack(252,009)と比較して顕著に少ない。
- ResNet34を用いたtiny-ImageNetでは、12,897クエリで0.54の成功率を達成し、Opt-attack(214,015クエリ)とZoo(88,966クエリ)を上回った。
- ランダムに初期化されたアタッカーと比較して、本手法はクエリ数を30%削減し、L2歪度を16%低減した。これは、メタトレーニングの有効性を示している。
- CIFAR10でトレーニングしたメタアタッカーは、tiny-ImageNetに良好に一般化され、VGG19で12,275クエリで0.55の成功率を達成した。これは強力な転送性を示している。
- 新しいモデルに対してメタアタッカーをファインチューニングすることで、数クエリで高い性能を達成する迅速な適応が可能である。
- アブレーションスタディの結果、q=500 と β=4e-3 が、成功率、クエリ効率、摂動サイズのバランスにおいて最良の結果をもたらした。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。