ブラックボックス機械学習モデルに対する質問効率の良いラベルのみの攻撃【JST・京大機械翻訳】

Ren Yizhi; Zhou Qi; Wang Zhen; Wu Ting; Wu Guohua; Choo Kim-Kwang Raymond

文献

J-GLOBAL ID：202002216503728301 整理番号：20A0527798

ブラックボックス機械学習モデルに対する質問効率の良いラベルのみの攻撃【JST・京大機械翻訳】

Query-efficient label-only attacks against black-box machine learning models

出版者サイト複写サービスで全文入手 {{ this.onShowCLink("http://jdream3.com/copy/?sid=JGLOBAL&noSystem=1&documentNoArray=20A0527798&COPY=1") }}
高度な検索・分析はJDreamⅢで {{ this.onShowJLink("http://jdream3.com/lp/jglobal/index.html?docNo=20A0527798&from=J-GLOBAL&jstjournalNo=E0995A") }}

著者 (6件)： , , , , ,
資料名：
巻： 90 ページ： Null 発行年： 2020年
JST資料番号： E0995A ISSN： 0167-4048 資料種別：逐次刊行物 (A)
記事区分：原著論文発行国：オランダ (NLD) 言語：英語 (EN)

最近の研究により,機械学習アルゴリズムは知覚不能摂動に敏感であることが示されている。これらの研究は実験室環境に焦点を合わせており,そこでは,攻撃者は被害者モデルの内部情報やクラス確率のようなフィードバックに関する知識を持っている。理論と物理的世界の間にはまだギャップがあり,より極端で現実的な条件の下での敵攻撃のリスクを理解する必要がある。ここでは,攻撃者が最終予測ラベルのみを得ることができる知識制限ブラックボックス攻撃モデルを提案した。一方,著者らは,質問制限のような資源制限のものとして攻撃者をモデル化した。知識レベルと資源の限界は,以前の研究を直接適用することができない。この問題に対して,現在の最先端技術は境界攻撃であるが,多くの質問を必要とする。本論文では,より現実的なシナリオにおける機械学習モデルの脆弱性を調べるためのいくつかの貢献を行った。最初に,著者らは最適化問題を再構成して,L_2距離によってサンプルポイントの品質を測定した。次に,切断面法と局所最適化を用いて,より効果的なアルゴリズムを提供した。第3に,実装が容易な2つの有効な動的防御戦略を提案した。最後に,MNIST,Fashion-MNISTおよびマルウェア検出データセットに関する実験的評価を行った。結果は,(1)最先端の方法と比較して,著者らの切断面方法が,攻撃効率を確実にする間,質問の数を減らすことを示した。(2)動的防御戦略は,ラベルのみの攻撃に対して効果的であり,攻撃成功率は,かなりの分類精度で,ほぼ100%から23%まで低下した。(3)改良防御戦略は,防御の有効性を保証して,全体のモデルの安定性を改良した。Copyright 2020 Elsevier B.V., Amsterdam. All rights reserved. Translated from English into Japanese by JST.【JST・京大機械翻訳】

, , , , , , , , ,
, , , , , 【Automatic Indexing@JST】

著者キーワード (3件)： , ,

データ保護 , 計算機網

, , , , ,

前のページに戻る