#103
summarized by : 飯田啄巳
DaST: Data-Free Substitute Training for Adversarial Attacks
Mingyi Zhou, Jing Wu, Yipeng Liu, Shuaicheng Liu, Ce Zhu

どんな論文か?

Adversarial Attackのための代替モデルを実際のデータなしで作成する手法(DaST)を提案。代替モデルの学習には、特殊なGANから生成された合成データと攻撃対象のモデルから取得したラベルを使用する。GANは図にあるように、複数に分岐しており、それぞれが一つのクラス生成に対応する。これにより生成されるデータをコントロールする。
placeholder

新規性

ブラックボックス攻撃する際に用意する代替モデルを、全くデータが手元になくてもで作成できる点。

結果

ローカルにある事前学習済みモデルとオンラインの学習システム(Azure)に対して攻撃が有効であることを確認。特に、DaSTはオンラインシステムに対しては、検証ステージでクエリが必要無い(代替モデルの学習には必要)。

その他(なぜ通ったか?等)

データを全く必要とせず代替モデルを作成できるので、ブラックボックス攻撃の障壁を一つ壊したと言える。

このページで利用されている画像は論文から引用しています.