Główne pojęcia
공개 모델을 활용한 전이 공격은 현실적이고 위협적이므로, 이에 대한 효과적인 방어 기법이 필요하다.
Streszczenie
이 논문은 공개 모델을 활용한 전이 공격(TAPM)이라는 새로운 위협 모델을 제안하고, 이에 대한 방어 기법인 PUBDEF를 소개한다.
- TAPM 위협 모델: 공격자가 공개된 모델을 활용하여 전이 공격을 수행하는 시나리오. 이는 현실적이고 위협적이지만 기존 연구에서 다루지 않았던 새로운 공격 방식이다.
- PUBDEF 방어 기법: 다양한 공개 모델을 활용하여 전이 공격에 강인한 모델을 학습하는 방법. 기존 방어 기법에 비해 훨씬 높은 정확도를 보이며, 정상 상황에서의 성능 저하도 크지 않다.
- 실험 결과: PUBDEF는 CIFAR-10, CIFAR-100, ImageNet 데이터셋에서 기존 방어 기법 대비 10-26%p 높은 적대적 정확도를 달성했다. 또한 정상 상황에서의 정확도 저하도 2-7%p에 그쳤다.
- 일반화 능력: PUBDEF는 학습에 사용되지 않은 공개 모델과 공격 알고리즘에 대해서도 강인한 성능을 보였다. 이는 전이 공격의 내재적 구조에 기인한 것으로 분석된다.
Statystyki
기존 방어 기법 대비 CIFAR-10에서 19.8%p, CIFAR-100에서 18.0%p, ImageNet에서 26.8%p 높은 적대적 정확도를 달성했다.
정상 상황에서의 정확도 저하는 CIFAR-10에서 0.2%p, CIFAR-100에서 5.3%p, ImageNet에서 2.0%p에 그쳤다.
Cytaty
"공개 모델을 활용한 전이 공격은 현실적이고 위협적이므로, 이에 대한 효과적인 방어 기법이 필요하다."
"PUBDEF는 기존 방어 기법 대비 10-26%p 높은 적대적 정확도를 달성했으며, 정상 상황에서의 정확도 저하도 크지 않다."