核心概念
Quantengestützte Klassifikatoren auf Basis von Kernel-Methoden und Support-Vektor-Maschinen sind anfällig für Adversarial-Angriffe, aber einfache Verteidigungsstrategien auf der Grundlage von Daten-Augmentierung können die Klassifikatoren gegen neue Angriffe robust machen.
摘要
Die Studie zeigt, dass quantengestützte Klassifikatoren auf Basis von Kernel-Methoden und Support-Vektor-Maschinen (QSVM) anfällig für Adversarial-Angriffe sind, bei denen kleine, absichtlich erzeugte Störungen der Eingabedaten den Klassifikator dazu bringen können, das falsche Ergebnis vorherzusagen.
Die Autoren entwickeln eine einfache Verteidigungsstrategie auf der Grundlage von Daten-Augmentierung, bei der einige wenige sorgfältig konstruierte Störungen verwendet werden, um den Klassifikator gegen neue Angriffe robust zu machen. Die Ergebnisse zeigen, dass diese Strategie effektiv ist und die Vorhersagegenauigkeit des QSVM-Klassifikators auf dem Testdatensatz deutlich verbessert.
Darüber hinaus führen die Autoren einen Proof-of-Concept-Experiment auf einem realen Quantencomputer durch, um die Kernel-Werte zu schätzen, die für die Vorhersage eines Adversarial-Beispiels erforderlich sind. Dieses Experiment zeigt, dass die Adversarial-Trainings-Technik nicht nur die Robustheit gegen Eingabe-Perturbationen, sondern auch gegen Hardware-Rauschen verbessern kann.
統計資料
Die Studie verwendet einen Datensatz mit 600 medizinischen Bildern, die in zwei Klassen (Hand und Brust) unterteilt sind. Der Datensatz besteht aus 500 Trainings- und 100 Testbeispielen.
引述
"Adversarial machine learning studies many ways of attacking and defending machine learning algorithms with different kinds of attacks, that can be characterized based on three aspects: i) the time when the attack is performed, and whether the algorithm or the model is attacked; ii) the amount of information needed to perform the attack, e.g. in so called white-box attacks we have complete details about the algorithm and the data, in contrast to black-box attacks where the algorithm and the model is unknown to the attacker; iii) the goals of the attack, e.g. an untargeted attack, when the attacker wants to cause just a wrong behaviour, or a targeted attack, when they want to achieve a specific result."