コピーアンドペースト:ブラックボックス攻撃に対する簡単だが効果的な初期化方法
Copy and Paste: A Simple But Effective Initialization Method for Black-Box Adversarial Attacks
ブラックボックスの敵対的な例を生成するための多くの最適化手法が提案されていますが、前記オプティマイザーを初期化する側面はあまり詳しく検討されていません。開始点の選択は確かに重要であり、最先端の攻撃のパフォーマンスはそれに依存することを示します。最初に、画像分類子を攻撃するための開始点の望ましいプロパティと、クエリの効率を高めるためにそれらを選択する方法について説明します。特に、他の画像から小さなパッチを単純にコピーすることは有効な戦略であることがわかります。次に、この方法の有効性を明確に示すImageNetの評価を示します。初期化スキームは、最先端の境界攻撃に必要なクエリの数を81%削減し、ターゲットブラックボックスで報告された以前の結果を大幅に上回る敵対的な例。
Many optimization methods for generating black-box adversarial examples have been proposed, but the aspect of initializing said optimizers has not been considered in much detail. We show that the choice of starting points is indeed crucial, and that the performance of state-of-the-art attacks depends on it. First, we discuss desirable properties of starting points for attacking image classifiers, and how they can be chosen to increase query efficiency. Notably, we find that simply copying small patches from other images is a valid strategy. We then present an evaluation on ImageNet that clearly demonstrates the effectiveness of this method: Our initialization scheme reduces the number of queries required for a state-of-the-art Boundary Attack by 81%, significantly outperforming previous results reported for targeted black-box adversarial examples.
updated: Sun Dec 29 2019 16:58:39 GMT+0000 (UTC)
published: Fri Jun 14 2019 09:17:19 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト