[论文解读] Imperceptible Adversarial Attacks on Tabular Data
本论文为表格数据定义了不可察觉的对抗攻击,并提出 LowProFool,一种基于梯度的方法,在保持对不太重要特征的扰动在感知上最小的同时实现高误导率。
Security of machine learning models is a concern as they may face adversarial attacks for unwarranted advantageous decisions. While research on the topic has mainly been focusing on the image domain, numerous industrial applications, in particular in finance, rely on standard tabular data. In this paper, we discuss the notion of adversarial examples in the tabular domain. We propose a formalization based on the imperceptibility of attacks in the tabular domain leading to an approach to generate imperceptible adversarial examples. Experiments show that we can generate imperceptible adversarial examples with a high fooling rate.
研究动机与目标
- 在表格数据领域动机化并形式化对抗样本。
- 为表格对抗扰动定义感知性与一致性。
- 提出一种基于梯度的攻击(LowProFool),在改变分类器输出的同时最小化感知性。
- 在金融相关的表格数据集上评估该攻击并与基线方法进行比较。
提出的方法
- 使用带有特征重要性 v 的加权扰动 d_v(r) = ||v ⊙ r||_p^2 来表述表格数据的不可察觉性。
- 定义一个优化目标 g(r) = L(x + r, t) + λ ||v ⊙ r||_p,在误分类和感知性之间达到平衡。
- 将 LowProFool 发展为在一致性约束(A)和特征裁剪下最小化 g(r) 的梯度下降算法。
- 在白箱设定下使用基于梯度的更新和特征裁剪,使扰动样本与真实数据的取值范围保持一致。
- 将特征重要性 v 建模为与目标变量的绝对 Pearson 相关性,并归一化为单位向量。
- 在四个数据集(German Credit、Australian Credit、Default Credit Card、Lending Club Loan)上使用神经网络分类器进行评估。
实验结果
研究问题
- RQ1如何在表格数据中定义和测量对抗扰动的感知性?
- RQ2攻击是否可以利用不太重要的特征在仍对领域专家感知不可察觉的情况下实现错分类?
- RQ3将 LowProFool 应用于表格数据时,与现有的图像领域对抗基线(FGSM、DeepFool)相比如何?
- RQ4在表格领域中,误导率与扰动感知性之间的权衡是什么?
主要发现
- LowProFool 在各数据集上实现高误导率(澳大利亚信用0.968,Lending Club 0.944 等)。
- LowProFool 的平均扰动和加权扰动范数显著小于可感知的基线,同时在对比 DeepFool 时保持有竞争力甚至更高的误导率。
- 加权扰动范数(d_v(r)) 显示 LowProFool 相较于 FGSM 产生更不可察觉的扰动,虽然在原始范数上通常比 DeepFool 更易察觉,但在感知加权下更优。
- 平均而言,LowProFool 的扰动与原样本非常接近,加权扰动仅占最近邻距离的一小部分(例如 Default Credit Card 为 5.9%)。
- FGSM 在表格数据上表现不佳,而 DeepFool 虽然实现更高的误导率,但在加权感知度量下感知性更大。
- 结果表明分类器学习的特征重要性与专家直觉(v)之间存在不匹配,使得通过较不重要的特征实现不可察觉攻击成为可能。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。