本論文は、ℓ0 攻撃に対する証明可能なロバスト性を確保する新しい手法、特徴量パーティション集約(FPA)を提案している。
ℓ0 攻撃は、特徴量の未知のサブセットを任意に変更するスパース攻撃である。ℓ0 ロバスト性分析は、異種(表形式)データにおいて特に適しており、特徴量の型やスケールが異なる場合でも有効である。
従来のℓ0 証明的防御は、ランダム化スムージングに基づいており、回避攻撃(evasion attack)のみに適用可能であった。
FPAは、回避攻撃、データ汚染攻撃、バックドア攻撃の3つのℓ0 攻撃に対して証明可能なロバスト性を提供する。これは従来のℓ0 防御よりも強い保証である。
FPAは、各サブモデルが異なる特徴量セットで訓練されるアンサンブルアプローチを採用している。これにより、攻撃された特徴量は最大1つのサブモデルの予測にしか影響しない。
実験評価の結果、FPAは従来のℓ0 防御手法と比べて、最大3,000倍高速であり、中央値のロバスト性保証も最大4倍大きいことが示された。つまり、FPAは追加のℓ0 ロバスト性を事実上無料で提供できる。
To Another Language
from source content
arxiv.org
Principais Insights Extraídos De
by Zayd Hammoud... às arxiv.org 04-09-2024
https://arxiv.org/pdf/2302.11628.pdfPerguntas Mais Profundas