As real-world images come in varying sizes, the machine learning model is part of a larger system that includes an upstream image scaling algorithm. In this system, the model and the scaling algorithm have become attractive targets for numerous attacks, such as adversarial examples and the recent image-scaling attack. In response to these attacks, researchers have developed defense approaches that are tailored to attacks at each processing stage. As these defenses are developed in isolation, their underlying assumptions may not hold when viewing them from the perspective of an end-to-end machine learning system. Thus, it is necessary to study these attacks and defenses in the context of machine learning systems. In this paper, we investigate the interplay between vulnerabilities of the image scaling procedure and machine learning models in the challenging hard-label black-box setting. We propose a series of novel techniques to make a black-box attack exploit vulnerabilities in scaling algorithms, scaling defenses, and the final machine learning model in an end-to-end manner. Based on this scaling-aware attack, we reveal that most existing scaling defenses are ineffective under threat from downstream models. Moreover, we empirically observe that standard black-box attacks can significantly improve their performance by exploiting the vulnerable scaling procedure. We further demonstrate this problem on a commercial Image Analysis API with transfer-based black-box attacks.


翻译:由于真实世界图像的大小不同,机器学习模型是包含上游图像缩放算法的更大系统的一部分。在这个系统中,模型和缩放算法已经成为许多攻击的吸引目标,例如对抗性例子和最近的图像缩放攻击。为了应对这些攻击,研究人员制定了针对每个处理阶段攻击的防御方法。由于这些防御是孤立开发的,在从终端到终端机学习系统的角度看待这些攻击和防御时,其基本假设可能无法维持。因此,有必要从机器学习系统的角度研究这些攻击和防御。在这个系统中,模型和缩放算法已成为许多攻击的吸引力目标,例如对抗性例子和最近的图像缩放攻击。我们提出了一系列新颖技术,以黑箱攻击利用每个处理阶段的缩放算法、缩放防御和最后机器学习模型的脆弱性。根据这种缩放式的机器学习系统,我们发现,大多数现有的缩放防御在机器学习系统的威胁之下是无效的。此外,我们从实验上观察了图像缩放程序的脆弱性和结构式攻击的变换,我们用一个标准的Abox 分析模型来大大改进它们的变压。

0
下载
关闭预览

相关内容

机器学习(Machine Learning)是一个研究计算学习方法的国际论坛。该杂志发表文章,报告广泛的学习方法应用于各种学习问题的实质性结果。该杂志的特色论文描述研究的问题和方法,应用研究和研究方法的问题。有关学习问题或方法的论文通过实证研究、理论分析或与心理现象的比较提供了坚实的支持。应用论文展示了如何应用学习方法来解决重要的应用问题。研究方法论文改进了机器学习的研究方法。所有的论文都以其他研究人员可以验证或复制的方式描述了支持证据。论文还详细说明了学习的组成部分,并讨论了关于知识表示和性能任务的假设。 官网地址:http://dblp.uni-trier.de/db/journals/ml/
【干货书】真实机器学习,264页pdf,Real-World Machine Learning
机器学习入门的经验与建议
专知会员服务
92+阅读 · 2019年10月10日
【哈佛大学商学院课程Fall 2019】机器学习可解释性
专知会员服务
103+阅读 · 2019年10月9日
已删除
将门创投
6+阅读 · 2019年9月3日
Arxiv
14+阅读 · 2020年10月26日
Deflecting Adversarial Attacks
Arxiv
8+阅读 · 2020年2月18日
Arxiv
45+阅读 · 2019年12月20日
Arxiv
18+阅读 · 2019年1月16日
Interpretable Active Learning
Arxiv
3+阅读 · 2018年6月24日
VIP会员
相关资讯
已删除
将门创投
6+阅读 · 2019年9月3日
相关论文
Top
微信扫码咨询专知VIP会员