Un algoritmo evolutivo, sin gradiente, eficiente en consultas y en caja negra para generar instancias adversas en redes neuronales convolucionales profundas
Autores: Lapid, Raz; Haramaty, Zvika; Sipper, Moshe
Idioma: Inglés
Editor: MDPI
Año: 2022
Acceso abierto
Artículo científico
2022
Un algoritmo evolutivo, sin gradiente, eficiente en consultas y en caja negra para generar instancias adversas en redes neuronales convolucionales profundas
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería de Software
Palabras clave
Redes neuronales
Ataque de caja negra
Instancias adversarias
Optimización sin gradientes
Logits del clasificador
Eficiencia de consulta
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 24
Citaciones: Sin citaciones
Las redes neuronales profundas (DNNs) son sensibles a datos adversarios en una variedad de escenarios, incluido el escenario de caja negra, donde al atacante solo se le permite consultar el modelo entrenado y recibir una salida. Los métodos existentes de caja negra para crear instancias adversarias son costosos, a menudo usando estimación de gradientes o entrenando una red de reemplazo. Este documento presenta un ataque de caja negra basado en puntuación no dirigido, llamado QuEry Attack. QuEry Attack se basa en una nueva función objetivo que se puede utilizar en problemas de optimización sin gradientes. El ataque solo requiere acceso a los logitos de salida del clasificador y, por lo tanto, no se ve afectado por el enmascaramiento de gradientes. No se necesita información adicional, lo que hace que nuestro método sea más adecuado para situaciones de la vida real. Probamos su rendimiento con tres modelos de clasificación de imágenes preentrenados comúnmente utilizados: Inception-v3, ResNet-50 y VGG-16-BN, contra tres conjuntos de datos de referencia: MNIST, CIFAR10 e ImageNet. Además, evaluamos el rendimiento de QuEry Attack en defensas de transformación no diferenciables y modelos robustos. Nuestros resultados demuestran el rendimiento superior de QuEry Attack, tanto en términos de puntuación de precisión como de eficiencia de consulta.
Descripción
Las redes neuronales profundas (DNNs) son sensibles a datos adversarios en una variedad de escenarios, incluido el escenario de caja negra, donde al atacante solo se le permite consultar el modelo entrenado y recibir una salida. Los métodos existentes de caja negra para crear instancias adversarias son costosos, a menudo usando estimación de gradientes o entrenando una red de reemplazo. Este documento presenta un ataque de caja negra basado en puntuación no dirigido, llamado QuEry Attack. QuEry Attack se basa en una nueva función objetivo que se puede utilizar en problemas de optimización sin gradientes. El ataque solo requiere acceso a los logitos de salida del clasificador y, por lo tanto, no se ve afectado por el enmascaramiento de gradientes. No se necesita información adicional, lo que hace que nuestro método sea más adecuado para situaciones de la vida real. Probamos su rendimiento con tres modelos de clasificación de imágenes preentrenados comúnmente utilizados: Inception-v3, ResNet-50 y VGG-16-BN, contra tres conjuntos de datos de referencia: MNIST, CIFAR10 e ImageNet. Además, evaluamos el rendimiento de QuEry Attack en defensas de transformación no diferenciables y modelos robustos. Nuestros resultados demuestran el rendimiento superior de QuEry Attack, tanto en términos de puntuación de precisión como de eficiencia de consulta.