×
王璐;张欢;易金凤;谢卓瑞;姜,袁

跨越攻击:使用未标记的数据加强黑盒攻击。 (英语) Zbl 1523.68072号

马赫。学习。 109,第12号,2349-2368(2020).
摘要:对抗性黑箱攻击旨在通过查询机器学习模型的输入输出对来制造对抗性扰动。它们被广泛用于评估预处理模型的稳健性。然而,由于输入空间的高维性,黑盒攻击经常会遇到查询效率低下的问题,因此会产生模型健壮性的错误感觉。在本文中,我们放宽了黑盒威胁模型的条件,并提出了一种称为跨越式攻击通过在低维子空间中通过跨越作为一种辅助的未标记数据集,跨越攻击极大地提高了现有各种黑盒攻击的查询效率。大量实验表明,该方法在软标签和硬标签黑盒攻击中都能有效地发挥作用。

引用于1文件

MSC公司:

68T05型 人工智能中的学习和自适应系统
68平方米25 计算机安全

关键词:

对抗性机器学习;对抗鲁棒性;黑盒攻击;查询效率

软件:

PyTorch公司;ImageNet公司;Reluplex公司
PDF格式BibTeX公司 XML格式引用
\textit{L.Wang}等人,马赫。学习。109,第12号,2349--2368(2020;Zbl 1523.68072)
全文: 内政部 arXiv公司

参考文献:

[1] 比吉奥,B。;Roli,F.,《野生模式:对抗性机器学习兴起十年后》,模式识别,84,317-331(2018)·doi:10.1016/j.patcog.2018年7月23日
[2] Brendel,W.、Rauber,J.和Bethge,M.(2018年)。基于决策的对抗性攻击:针对黑盒机器学习模型的可靠攻击。在国际学习表征会议(ICLR)上。
[3] Brunner,T.、Diehl,F.、Truong-Le,M.和Knoll,A.(2018年)。聪明猜测:针对高效黑盒对抗性攻击的有偏采样。IEEE计算机视觉国际会议(ICCV)(第4958-4966页)。
[4] Carlini,N.和Wagner,D.(2017年)。评估神经网络的鲁棒性。IEEE安全与隐私研讨会(SP)(第39-57页)。
[5] Chen,J.、Jordan,M.I.和Wainwright,M.J.(2019年)。跳跳攻击:一种基于查询效率的决策攻击。CoRR abs/1904.02144。
[6] Chen,H.,Zhang,H.、Boning,D.和Hsieh,C.J.(2019年)。对抗性示例的稳健决策树。在机器学习国际会议(ICML)上(第1122-1131页)。
[7] Chen,P.Y.、Zhang,H.、Sharma,Y.、Yi,J.和Hsieh,C.J.(2017)。ZOO:基于零阶优化的黑盒攻击深度神经网络,无需训练替代模型。在ACM计算机和通信安全会议(CCS)人工智能和安全研讨会(AISec)上(第15-26页)。
[8] 切尼,W。;Kincaid,DR,《线性代数:理论与应用》(2010),华盛顿特区:塞勒基金会,华盛顿特区·Zbl 1386.15001号
[9] Cheng,S.、Dong,Y.、Pang,T.、Su,H.和Zhu,J.(2019年)。使用基于传输的优先级改进黑盒对手攻击。神经信息处理系统进展(NeurIPS)。
[10] Cheng,M.、Le,T.、Chen,P.Y.、Yi,J.、Zhang,H.和Xieh,C.J.(2019年)。查询效率高的硬标签黑盒攻击:一种基于优化的方法。在学习代表国际会议上。
[11] Cheng,M.、Singh,S.、Chen,P.Y.、Liu,S.和Hsieh,C.J.(2020)《标志:一种高效的硬派对抗性攻击》。在学习代表国际会议上。
[12] 科尔特斯,C。;Vapnik,V.,支持向量网络,机器学习,20,3,273-297(1995)·Zbl 0831.68098号
[13] Deng,J.,Dong,W.,Socher,R.,Li,L.J.,Li.,K.,&Fei-Fei,L.(2009)Imagenet:大型分层图像数据库。IEEE计算机视觉和模式识别会议(CVPR)(第248-255页)。
[14] Fawzi,A。;法齐,O。;Frossard,P.,《分类器对对抗扰动的鲁棒性分析》,机器学习,107,3,481-508(2018)·Zbl 1462.62383号 ·doi:10.1007/s10994-017-5663-3
[15] Goodfellow,I.J.、Shlens,J.和Szegedy,C.(2015)。解释和利用对抗性示例。在学习代表国际会议上。
[16] He,K.,Zhang,X.,Ren,S.,&Sun,J.(2016)。用于图像识别的深度残差学习。IEEE计算机视觉和模式识别会议(CVPR)(第770-778页)。
[17] Hodosh,M.、Young,P.和Hockenmaier,J.C.(2015)。将图像描述作为排序任务:数据、模型和评估指标。国际人工智能会议(IJCAI)(第4188-4192页)·Zbl 1270.68347号
[18] Huang,G.,Liu,Z.,van der Maaten,L.,&Weinberger,K.Q.(2017)。紧密连接的卷积网络。IEEE计算机视觉和模式识别会议(CVPR)(第2261-2269页)。
[19] Ilyas,A.、Engstrom,L.、Athalye,A.和Lin,J.(2018)有限查询和信息的黑盒对抗性攻击。在机器学习国际会议(ICML)上(第2142-2151页)。
[20] Ilyas,A.、Engstrom,L.和Madry,A.(2019)先前定罪:与强盗和先犯进行黑匣子对抗性攻击。在学习代表国际会议上。
[21] Kantchelian,A.、Tygar,J.和Joseph,A.(2016)。树集成分类器的回避和强化。在机器学习国际会议(ICML)上(第2387-2396页)。
[22] Katz,G.、Barrett,C.、Dill,D.L.、Julian,K.和Kochenderfer,M.J.(2017年)。Reluplex:一种用于验证深度神经网络的高效SMT求解器。在计算机辅助核查国际会议上(第97-117页)·Zbl 1494.68167号
[23] Liu,S.、Chen,P.Y.、Chen、X.和Hong,M.(2019年)。通过零阶预言机签署SGD。在学习代表国际会议上。
[24] Liu,Y.、Chen,X.、Liu,C.和Song,D.(2017)《探究可转移的对抗性示例和黑盒攻击》。在学习代表国际会议上。
[25] Madry,A.、Makelov,A.、Schmidt,L.、Tsipras,D.和Vladu,A.(2018)《面向对抗性攻击的深度学习模型》。在学习代表国际会议上。
[26] 内斯特罗夫,Y。;Spokoiny,VG,凸函数的随机无梯度最小化,计算数学基础,17,2,527-566(2017)·Zbl 1380.90220号 ·doi:10.1007/s10208-015-9296-2
[27] Papernot,N.、McDaniel,P.D.和Goodfellow,I.J.(2016)《机器学习中的可迁移性:使用对抗样本从现象到黑盒攻击》。CoRR abs/1605.07277。
[28] Papernot,N.、McDaniel,P.、Goodfellow,I.、Jha,S.、Celik,Z.B.和Swami,A.(2017)。针对机器学习的实际黑盒攻击。亚洲计算机和通信安全会议(第506-519页)。
[29] Simonyan,K.和Zisserman,A.(2015)。用于大规模图像识别的深度卷积网络。在学习代表国际会议上。
[30] Steiner,B.、DeVito,Z.、Chintala,S.、Gross,S.和Paszke,A.、Massa,F.、Lerer,A.、Chanan,G.、Lin,Z.和Yang,E.、Desmaison,A.、Tejani,A.、Kopf,A.,Bradbury,J.、Antiga,L.、Raison,M.、Gimelshein,N.、Chilamkurthy,S.,Killeen,T.、Fang,L.和Bai,J.(2019)《Pytorch:一种命令式、高性能的深度学习库》。《神经信息处理系统进展》(NeurIPS)(第8024-8035页)。
[31] Stutz,D.、Hein,M.和Schiele,B.(2019年)。摆脱对抗性鲁棒性和通用性。IEEE计算机视觉和模式识别会议(CVPR)(第6976-6987页)。
[32] Su,D.、Zhang,H.、Chen,H.、Yi,J.、Chen,P.Y.和Gao,Y.(2018)。稳健性是准确性的代价吗-对18种深度图像分类模型的鲁棒性进行了综合研究。欧洲计算机视觉会议(ECCV)(第644-661页)。
[33] Szegedy,C.、Zaremba,W.、Sutskever,I.、Bruna,J.、Erhan,D.、Goodfellow,I.J.和Fergus,R.(2014)。神经网络的有趣特性。在学习代表国际会议上。
[34] 图,CC;Ting,P。;陈,PY;刘,S。;张,H。;Yi,J。;谢长杰;Cheng,SM,Autozoom:基于自动编码器的零阶优化方法,用于攻击黑盒神经网络,AAAI人工智能会议(AAAI),33,742-749(2019)·doi:10.1609/aaai.v33i01.3301742
[35] Uesato,J.、O'Donoghue,B.、Kohli,P.、van den Oord,A.(2018)。对手风险和针对弱攻击进行评估的危险。在机器学习国际会议(ICML)上(第5025-5034页)。
[36] Wang,Y.,Du,S.S.,Balakrishnan,S.,Singh,A.(2017)。高维随机零阶优化。在人工智能和统计国际会议(AISTATS)上(第1356-1365页)。
[37] Wang,L.,Liu,X.,Yi,J.,Jiang,Y.,&Xieh,C.J.(2020年)。可靠的度量学习。CoRR abs/2006.07024。
[38] Wang,L.,Liu,X.,Yi,J.,Zhou,Z.H.,&Hsieh,C.J.(2019)《最近邻分类器的稳健性评估:一个主对偶视角》。CoRR abs/1906.03972。
[39] Yan,Z.,Guo,Y.,Zhang,C.(2019)。子空间攻击:利用有希望的子空间进行高效查询的黑盒攻击。神经信息处理系统进展(NeurIPS)。
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。