arXiv reaDer
彼らは巨人ではないかもしれない:Particle Swarm Optimizationを使用して、より少ないクエリでブラックボックスの敵の例を作成する
They Might NOT Be Giants: Crafting Black-Box Adversarial Examples with Fewer Queries Using Particle Swarm Optimization
  機械学習モデルは、多くの場合、元の入力と区別できない敵対的な例の影響を受けやすいことがわかっています。これらの敵対的な例は、敵対的摂動を入力サンプルに適用することによって作成されます。敵対的摂動は、ターゲットモデルによって誤分類される原因となります。摂動を検索して適用して敵対的な例を作成する攻撃は、標的に関する攻撃者が利用できる情報に応じて、ホワイトボックスとブラックボックスの両方の設定で実行されます。ブラックボックス攻撃の場合、攻撃者が利用できる唯一の機能は、特別に細工された入力でターゲットをクエリし、モデルによって返されるラベルを観察する機能です。現在のブラックボックス攻撃は、成功率が低く、多数のクエリを必要とするか、ソースと容易に区別できる敵対的な例を生成します。このホワイトペーパーでは、AdversarialPSOを紹介します。これは、より少ないクエリを使用して、成功率の高い敵対的な例を作成するブラックボックス攻撃です。 AdversarialPSOは、人口ベースのグラジエントフリー最適化アルゴリズムである進化的探索アルゴリズムParticle Swarm Optimizationに基づいています。ターゲットに送信されるクエリの数と、知覚できない敵の例の品質のバランスを柔軟にとることができます。攻撃は、画像分類ベンチマークデータセットCIFAR-10、MNIST、Imagenetを使用して評価され、それぞれ99.6%、96.3%、82.0%の成功率を達成しながら、最先端技術よりも大幅に少ないクエリを送信しています。 。また、分類を行う際にモデルが使用する顕著な特徴を分離するためのブラックボックス法も提示します。このメソッドは、個別の検索スペースを持つSwarmsまたはSWISSと呼ばれ、入力の最も重要な機能を見つけて変更することにより、敵対的な例を作成します。
Machine learning models have been found to be susceptible to adversarial examples that are often indistinguishable from the original inputs. These adversarial examples are created by applying adversarial perturbations to input samples, which would cause them to be misclassified by the target models. Attacks that search and apply the perturbations to create adversarial examples are performed in both white-box and black-box settings, depending on the information available to the attacker about the target. For black-box attacks, the only capability available to the attacker is the ability to query the target with specially crafted inputs and observing the labels returned by the model. Current black-box attacks either have low success rates, requires a high number of queries, or produce adversarial examples that are easily distinguishable from their sources. In this paper, we present AdversarialPSO, a black-box attack that uses fewer queries to create adversarial examples with high success rates. AdversarialPSO is based on the evolutionary search algorithm Particle Swarm Optimization, a populationbased gradient-free optimization algorithm. It is flexible in balancing the number of queries submitted to the target vs the quality of imperceptible adversarial examples. The attack has been evaluated using the image classification benchmark datasets CIFAR-10, MNIST, and Imagenet, achieving success rates of 99.6%, 96.3%, and 82.0%, respectively, while submitting substantially fewer queries than the state-of-the-art. We also present a black-box method for isolating salient features used by models when making classifications. This method, called Swarms with Individual Search Spaces or SWISS, creates adversarial examples by finding and modifying the most important features in the input.
updated: Mon Sep 16 2019 21:24:19 GMT+0000 (UTC)
published: Mon Sep 16 2019 21:24:19 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)アソシエイト