当前位置:
X-MOL 学术
›
arXiv.cs.CR
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
Probabilistic Jacobian-based Saliency Maps Attacks
arXiv - CS - Cryptography and Security Pub Date : 2020-07-12 , DOI: arxiv-2007.06032 Th\'eo Combey, Ant\'onio Loison, Maxime Faucher and Hatem Hajri
arXiv - CS - Cryptography and Security Pub Date : 2020-07-12 , DOI: arxiv-2007.06032 Th\'eo Combey, Ant\'onio Loison, Maxime Faucher and Hatem Hajri
Neural network classifiers (NNC) are known to be vulnerable to malicious
adversarial perturbations of inputs including those modifying a small fraction
of the input features named sparse or $L_0$ attacks. Effective and fast $L_0$
attacks are practical to thwart NNC and improve their robustness. In
particular, the Jacobian-based Saliency Map Attack (JSMA) is a fast, widely
used method to fool NNC. In this paper, we introduce new variants of JSMA that
can be used for targeted and non-targeted misclassification of NNC. Our attacks
are derived by crucially penalising saliency maps of JSMA by the output
probabilities and the input features of the NNC. We propose Weighted JSMA
(WJSMA) and Taylor JSMA (TJSMA) and demonstrate, through a variety of white-box
and black-box experiments on three different datasets (MNIST, CIFAR-10 and
GTSRB), that they are significantly faster and more efficient than JSMA as well
as its known non-targeted versions. Experiments also demonstrate, in some
cases, very competitive results of our attacks in comparison with
Carlini-Wagner (CW) $L_0$ attack. Our attacks are, however, significantly much
faster than CW $L_0$ (for example more than 50 hundred times faster measuring
the average execution time on CIFAR-10). Therefore, they provide good
trade-offs between JSMA and CW for $L_0$ real-time adversarial testing on
datasets as the previous ones. Codes are publicly available through the link
https://github.com/probabilistic-jsmas/probabilistic-jsmas.
中文翻译:
基于概率 Jacobian 的显着图攻击
众所周知,神经网络分类器 (NNC) 容易受到输入的恶意对抗扰动的影响,包括修改一小部分输入特征的输入特征,称为稀疏或 $L_0$ 攻击。有效且快速的 $L_0$ 攻击对于阻止 NNC 并提高其鲁棒性是可行的。特别是,基于 Jacobian 的显着图攻击 (JSMA) 是一种快速、广泛使用的欺骗 NNC 的方法。在本文中,我们介绍了 JSMA 的新变体,可用于 NNC 的定向和非定向错误分类。我们的攻击是通过根据 NNC 的输出概率和输入特征对 JSMA 的显着图进行关键惩罚而得出的。我们提出了加权 JSMA (WJSMA) 和 Taylor JSMA (TJSMA),并通过对三个不同数据集(MNIST、CIFAR-10 和 GTSRB)的各种白盒和黑盒实验进行了演示,它们比 JSMA 及其已知的非目标版本更快、更高效。实验还表明,在某些情况下,与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击具有非常有竞争力的结果。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击结果非常有竞争力。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击结果非常有竞争力。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。
更新日期:2020-09-17
中文翻译:
基于概率 Jacobian 的显着图攻击
众所周知,神经网络分类器 (NNC) 容易受到输入的恶意对抗扰动的影响,包括修改一小部分输入特征的输入特征,称为稀疏或 $L_0$ 攻击。有效且快速的 $L_0$ 攻击对于阻止 NNC 并提高其鲁棒性是可行的。特别是,基于 Jacobian 的显着图攻击 (JSMA) 是一种快速、广泛使用的欺骗 NNC 的方法。在本文中,我们介绍了 JSMA 的新变体,可用于 NNC 的定向和非定向错误分类。我们的攻击是通过根据 NNC 的输出概率和输入特征对 JSMA 的显着图进行关键惩罚而得出的。我们提出了加权 JSMA (WJSMA) 和 Taylor JSMA (TJSMA),并通过对三个不同数据集(MNIST、CIFAR-10 和 GTSRB)的各种白盒和黑盒实验进行了演示,它们比 JSMA 及其已知的非目标版本更快、更高效。实验还表明,在某些情况下,与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击具有非常有竞争力的结果。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击结果非常有竞争力。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。与 Carlini-Wagner (CW) $L_0$ 攻击相比,我们的攻击结果非常有竞争力。然而,我们的攻击比 CW $L_0$ 快得多(例如,在 CIFAR-10 上测量平均执行时间快了 5000 多倍)。因此,它们在 JSMA 和 CW 之间提供了良好的权衡,以实现对数据集的 $L_0$ 实时对抗性测试,就像以前的测试一样。代码可通过链接 https://github.com/probabilistic-jsmas/probabilistic-jsmas 公开获得。
京公网安备 11010802027423号