CGBAを使ったブラックボックス攻撃の進展
CGBAを紹介するよ。これはブラックボックスの状況で効率的な敵対的画像操作をするための新しい方法なんだ。
― 1 分で読む
機械学習の世界では、賢い操作によってシステムが間違った判断をするように騙されることがある。特に画像認識などの分野では、コンピュータに画像を誤分類させることが目標となる。これを達成するための人気のある方法の一つが**ブラックボックス攻撃**で、攻撃者はモデルの内部構造を知らなくても、画像を送信してその反応を観察することでテストを行うことができる。
ブラックボックス攻撃は大きく2種類に分けられる:ホワイトボックス攻撃とブラックボックス攻撃。ホワイトボックス攻撃では、攻撃者はモデルとそのパラメータに完全にアクセスできるが、ブラックボックス攻撃では限られたインタラクションしかできない-通常はデータを入力して出力を受け取るだけで、内部のメカニズムを理解することはできない。これにより、ブラックボックス攻撃は実際のシナリオにより適用可能になる。
課題
ブラックボックス攻撃の一つの大きな課題は、敵対的な例と呼ばれる修正画像を作成するためには、モデルに対して多くのクエリが必要になることだ。各クエリは時間とリソースを消費するため、効率的な方法が非常に重要になる。現在の決定に基づくブラックボックス攻撃は、分類の境界を近似することに依存しているため、しばしば非効率的である。この境界は大きく変動することがあり、モデルを騙すための正しい摂動を見つける際に問題を引き起こす。
一般的な方法は、特定の点での法線ベクトルに基づいて境界に向かう方向を計算することだ。しかし、これは特にモデルの決定境界が複雑または高度に曲がっている場合に、非効率や悪い結果を招くことがある。
提案手法:曲率を意識した幾何学的ブラックボックス攻撃(CGBA)
これらの課題に対処するために、**曲率を意識した幾何学的ブラックボックス攻撃(CGBA)**という新しいアプローチを提案する。この方法は、2D平面上で半円形パスに沿って決定境界を探索することで、敵対的な例を作成する効率を向上させる。これにより、境界の形状がどれほど複雑または曲がっていても、より良い処理が可能になる。
CGBAの主な特徴
境界検索:CGBA方法は、曲線に沿って系統的に探索するため、直線的に探すよりも正確な結果を得やすい。特に、直線でない境界に対して効果的で、より良い敵対的な例を見つけることができる。
効率性:この方法は、敵対的な例を見つけるために必要なクエリの数を最小限に抑えるように設計されている。これにより、時間を節約でき、実際のシナリオでの攻撃がより実用的になる。
適応性:CGBAは、決定境界の曲率に基づいてアプローチを調整できる。境界があまり曲がっていない場合には、特に優れた性能を発揮する。また、CGBA-Hというバリアントも用意していて、境界が高度に曲がっている状況に特化している。
決定に基づく攻撃
決定に基づく攻撃は、モデルのトップ予測のみに依存し、追加情報は使用しない攻撃だ。このスタイルの攻撃は、基盤となるモデルへのアクセスが制限されている状況で一般的だ。このタイプの攻撃にはさまざまな戦略があるが、多くは法線ベクトルと境界の近似に依存している。
既存の手法の制限
既存の手法には、敵対的な例を作成する際にいくつかの弱点がある:
不正確:法線ベクトルの推定に依存するアプローチは、実際の方向を誤判断することがあり、効果的なクエリができず、摂動が増加することになる。
限られた収束:狭い敵対的領域や高度に曲がった境界を扱う場合、従来の探索方法は適切な摂動調整のポイントを特定できないことがよくある。
高いクエリ数:多くの既存の手法は、効果的な敵対的な例に収束する前に大量のクエリを必要とする。
幾何学的アプローチ
半円形パス探索
CGBAの核心アイデアは、定義された2D平面上で半円形パスに沿って境界検索を行うことだ。境界に向かうベクトルと推定法線ベクトルという2つの主要なベクトルを使用することで、効果的に探索を導く。
BSSP(半円形パスに沿った境界検索)
半円形パスに沿った境界検索(BSSP)は、CGBAフレームワークの重要な要素だ。境界に向かう直線的なパスをたどる代わりに、BSSPはよりダイナミックな方法で潜在的なポイントを探索することを可能にする。これは曲線に特に有用で、直線パスが見逃す可能性のある有効なポイントを見逃さないようにする。
ターゲット攻撃用の強化
攻撃者が特定のクラスにモデルを誤分類させたい場合のために、CGBA-Hという改善版を開発した。このバリアントは、特に高曲率の境界を扱うシナリオに迅速に適応し、検索プロセスを最適化するように設定されている。
初期化戦略
境界検索の良いスタート地点はパフォーマンスに大きく影響する。ランダムな検索方向の代わりに、CGBAはよりスマートな初期化戦略を設定する。以前に観察されたクラスに基づいてランダムな方向を選択することで、成功する摂動を見つけるためのターゲット検索をより良く行える。
実験と結果
データセットとモデル
CGBAとCGBA-Hの効果をテストするために、ImageNetやCIFAR10などのデータセットを使用した。ResNetやVGGなどの複数の有名な分類器を使用して、さまざまな条件下でのパフォーマンスを評価した。
パフォーマンス指標
我々は、以下の3つの重要な指標を用いて方法の成功を測定した:
摂動の中央値ノルム:モデルを欺くのに必要な摂動の大きさを見ている。
攻撃成功率(ASR):生成された成功した敵対的例の割合。
曲線下の面積(AUC):クエリが増えるにつれて摂動を最小化するために方法がどれだけ効率的に収束するかを示している。
結果の概要
非ターゲット攻撃:これらのシナリオで、CGBAは常に最新の手法を上回り、決定境界の低曲率の特性を効果的に活用した。
ターゲット攻撃:CGBA-Hは、高曲率の境界を扱う場合に優れた性能を示し、我々の方法の適応性を実証した。
初期化の影響:初期化戦略はパフォーマンスに直接影響を与え、うまく選ばれたスタートポイントが結果を大きく向上させることが特にターゲット攻撃で見られた。
結論
要するに、CGBAとそのバリアントCGBA-Hは、ブラックボックス敵対的攻撃に関連する課題に取り組むための革新的な方法を提供する。半円形パスに沿った効率的な境界検索に焦点を当てることで、我々の方法は非ターゲットおよびターゲットシナリオの両方でより良いパフォーマンスを可能にする。この研究の意義は、敵対的機械学習の進化する分野において、適応性と効率性の重要性を示し、堅牢な機械学習システムを構築するためのさらなる研究と開発への道筋を提示することだ。
タイトル: CGBA: Curvature-aware Geometric Black-box Attack
概要: Decision-based black-box attacks often necessitate a large number of queries to craft an adversarial example. Moreover, decision-based attacks based on querying boundary points in the estimated normal vector direction often suffer from inefficiency and convergence issues. In this paper, we propose a novel query-efficient curvature-aware geometric decision-based black-box attack (CGBA) that conducts boundary search along a semicircular path on a restricted 2D plane to ensure finding a boundary point successfully irrespective of the boundary curvature. While the proposed CGBA attack can work effectively for an arbitrary decision boundary, it is particularly efficient in exploiting the low curvature to craft high-quality adversarial examples, which is widely seen and experimentally verified in commonly used classifiers under non-targeted attacks. In contrast, the decision boundaries often exhibit higher curvature under targeted attacks. Thus, we develop a new query-efficient variant, CGBA-H, that is adapted for the targeted attack. In addition, we further design an algorithm to obtain a better initial boundary point at the expense of some extra queries, which considerably enhances the performance of the targeted attack. Extensive experiments are conducted to evaluate the performance of our proposed methods against some well-known classifiers on the ImageNet and CIFAR10 datasets, demonstrating the superiority of CGBA and CGBA-H over state-of-the-art non-targeted and targeted attacks, respectively. The source code is available at https://github.com/Farhamdur/CGBA.
著者: Md Farhamdur Reza, Ali Rahmati, Tianfu Wu, Huaiyu Dai
最終更新: 2023-08-06 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2308.03163
ソースPDF: https://arxiv.org/pdf/2308.03163
ライセンス: https://creativecommons.org/licenses/by/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。