ランダム化された勾配のない敵対攻撃をスケールアップすると、確立された攻撃を使用した堅牢性の過大評価が明らかになります
Scaling up the randomized gradient-free adversarial attack reveals overestimation of robustness using established attacks
現代のニューラルネットワークは、敵対的な操作に対して非常に堅牢です。正式な保証を通じてロバスト性の下限を計算し、証明可能なロバストなモデルを構築するための手法に多大な労力が費やされています。ただし、大規模なネットワークまたは大規模な摂動に対する堅牢性を保証することは依然として困難です。したがって、実際の堅牢性の厳密な上限を設定するには、攻撃戦略が必要です。特に大規模ネットワークにスケールアップすることにより、ReLUネットワークのランダム化された勾配のない攻撃[9]を大幅に改善します。私たちの攻撃は、PGDやCarliniやWagnerのような最先端の攻撃と同等または大幅に小さい堅牢な精度を達成することを示しています。したがって、これらの最先端の方法による堅牢性の過大評価が明らかになります。私たちの攻撃は勾配降下法に基づいておらず、この意味で勾配なしです。これにより、ステップサイズを慎重に選択する必要がないため、ハイパーパラメータの選択に対する感度が低下します。
Modern neural networks are highly non-robust against adversarial manipulation. A significant amount of work has been invested in techniques to compute lower bounds on robustness through formal guarantees and to build provably robust models. However, it is still difficult to get guarantees for larger networks or robustness against larger perturbations. Thus attack strategies are needed to provide tight upper bounds on the actual robustness. We significantly improve the randomized gradient-free attack for ReLU networks [9], in particular by scaling it up to large networks. We show that our attack achieves similar or significantly smaller robust accuracy than state-of-the-art attacks like PGD or the one of Carlini and Wagner, thus revealing an overestimation of the robustness by these state-of-the-art methods. Our attack is not based on a gradient descent scheme and in this sense gradient-free, which makes it less sensitive to the choice of hyperparameters as no careful selection of the stepsize is required.
updated: Wed Sep 25 2019 17:04:43 GMT+0000 (UTC)
published: Wed Mar 27 2019 11:41:27 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト