ハードラベル攻撃の歪みを減らすための最適な接点を見つける
Finding Optimal Tangent Points for Reducing Distortions of Hard-label Attacks
ブラックボックスの敵対的攻撃の大きな問題の1つは、上位1つの予測ラベルのみが使用可能なハードラベル攻撃設定でのクエリの複雑さです。この論文では、接線攻撃(TA)と呼ばれる新しい幾何学ベースのアプローチを提案します。これは、攻撃の歪みを減らすために、決定境界上にある仮想半球の最適な接点を識別します。決定境界が局所的に平坦であると仮定すると、各反復でそのような接点を通過する接線に沿って決定境界に到達することにより、最小のℓ_2歪みが得られることを理論的に証明します。我々の方法のロバスト性を改善するために、我々はさらに、半球を半楕円体に置き換えて湾曲した決定境界に適応する一般化された方法を提案する。私たちのアプローチには事前トレーニングはありません。 ImageNetおよびCIFAR-10データセットで実施された広範な実験は、私たちのアプローチが低マグニチュード歪みを達成するために少数のクエリしか消費できないことを示しています。実装のソースコードは、https://github.com/machanic/TangentAttackからオンラインでリリースされています。
One major problem in black-box adversarial attacks is the high query complexity in the hard-label attack setting, where only the top-1 predicted label is available. In this paper, we propose a novel geometric-based approach called Tangent Attack (TA), which identifies an optimal tangent point of a virtual hemisphere located on the decision boundary to reduce the distortion of the attack. Assuming the decision boundary is locally flat, we theoretically prove that the minimum ℓ_2 distortion can be obtained by reaching the decision boundary along the tangent line passing through such tangent point in each iteration. To improve the robustness of our method, we further propose a generalized method which replaces the hemisphere with a semi-ellipsoid to adapt to curved decision boundaries. Our approach is free of pre-training. Extensive experiments conducted on the ImageNet and CIFAR-10 datasets demonstrate that our approach can consume only a small number of queries to achieve the low-magnitude distortion. The implementation source code is released online at https://github.com/machanic/TangentAttack.
updated: Sun Jan 16 2022 09:41:09 GMT+0000 (UTC)
published: Mon Nov 15 2021 01:51:37 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト