PGD のような敵対的攻撃の痕跡について
On Trace of PGD-Like Adversarial Attacks
敵対的攻撃は、深層学習アプリケーションに安全性とセキュリティ上の懸念をもたらしますが、その特性は調査されていません。しかし、敵対者の例では、PGD のような攻撃によって強い痕跡が残されている可能性があります。 PGD のような攻撃は、ネットワークの「局所的な線形性」を引き起こすことを思い出してください。これは、良性の例と敵対的な例の線形性の程度が異なることを意味します。これに触発されて、線形性の範囲を示すために、入力の周りのモデルの勾配の一貫性を反映するための敵対的応答特性 (ARC) 機能を構築します。特定の条件下では、良性の例から敵対的な例へと徐々に変化するパターンを質的に示します。後者は Sequel Attack Effect (SAE) につながります。 ARC の有効性を定量的に評価するために、CIFAR-10 と ImageNet で、挑戦的な設定で攻撃の検出と攻撃の種類の認識に関する実験を行います。この結果は、SAE が ARC 機能を介して反映された PGD のような攻撃の効果的でユニークな痕跡であることを示唆しています。 ARC 機能は、直感的で、軽量で、非侵入型で、データを要求しません。
Adversarial attacks pose safety and security concerns to deep learning applications, but their characteristics are under-explored. Yet largely imperceptible, a strong trace could have been left by PGD-like attacks in an adversarial example. Recall that PGD-like attacks trigger the ``local linearity'' of a network, which implies different extents of linearity for benign or adversarial examples. Inspired by this, we construct an Adversarial Response Characteristics (ARC) feature to reflect the model's gradient consistency around the input to indicate the extent of linearity. Under certain conditions, it qualitatively shows a gradually varying pattern from benign example to adversarial example, as the latter leads to Sequel Attack Effect (SAE). To quantitatively evaluate the effectiveness of ARC, we conduct experiments on CIFAR-10 and ImageNet for attack detection and attack type recognition in a challenging setting. The results suggest that SAE is an effective and unique trace of PGD-like attacks reflected through the ARC feature. The ARC feature is intuitive, light-weighted, non-intrusive, and data-undemanding.
updated: Sat Nov 05 2022 03:09:55 GMT+0000 (UTC)
published: Thu May 19 2022 14:26:50 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト