La fonctionnalité de recherche est en construction.
La fonctionnalité de recherche est en construction.

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. ex. Some numerals are expressed as "XNUMX".
Copyrights notice

The original paper is in English. Non-English content has been machine-translated and may contain typographical errors or mistranslations. Copyrights notice

Simple Black-Box Adversarial Examples Generation with Very Few Queries Génération simple d'exemples contradictoires en boîte noire avec très peu de requêtes

Yuya SENZAKI, Satsuya OHATA, Kanta MATSUURA

  • Vues en texte intégral

    0

  • Citer

Résumé:

La recherche sur des exemples contradictoires pour l’apprentissage automatique a reçu beaucoup d’attention ces dernières années. La plupart des approches précédentes sont des attaques en boîte blanche ; cela signifie que l'attaquant doit obtenir au préalable les paramètres internes d'un classificateur cible pour générer des exemples contradictoires pour celui-ci. Cette condition est difficile à satisfaire en pratique. Il existe également des recherches sur les attaques par boîte noire, dans lesquelles l'attaquant ne peut obtenir que des informations partielles sur les classificateurs cibles ; cependant, il semble que nous puissions empêcher ces attaques, car elles doivent émettre de nombreuses requêtes suspectes au classificateur cible. Dans cet article, nous montrons qu’une stratégie de défense naïve basée sur la surveillance des requêtes numériques ne suffira pas. Plus concrètement, nous proposons de générer des perturbations contradictoires non pas par pixel mais par bloc pour réduire le nombre de requêtes. Nos expériences montrent que de telles perturbations brutales peuvent perturber le classificateur cible. Nous réussissons à réduire le nombre de requêtes pour générer des exemples contradictoires dans la plupart des cas. Notre méthode simple est une attaque non ciblée et peut avoir de faibles taux de réussite par rapport aux résultats précédents d'autres attaques par boîte noire, mais nécessite en moyenne moins de requêtes. Étonnamment, le nombre minimum de requêtes (une et trois dans les ensembles de données MNIST et CIFAR-10, respectivement) est suffisant pour générer des exemples contradictoires dans certains cas. De plus, sur la base de ces résultats, nous proposons une classification détaillée des attaquants boîte noire et discutons des contre-mesures contre les attaques ci-dessus.

Publication
IEICE TRANSACTIONS on Information Vol.E103-D No.2 pp.212-221
Date de publication
2020/02/01
Publicisé
2019/10/02
ISSN en ligne
1745-1361
DOI
10.1587/transinf.2019INP0002
Type de manuscrit
Special Section PAPER (Special Section on Security, Privacy, Anonymity and Trust in Cyberspace Computing and Communications)
Catégories
Fiabilité et sécurité des systèmes informatiques

Auteurs

Yuya SENZAKI
  Idein Inc.
Satsuya OHATA
  National Institute of Advanced Industrial Science and Technology (AIST)
Kanta MATSUURA
  The University of Tokyo

Mots-clés

Table des matières