論文の概要: (De)Randomized Smoothing for Certifiable Defense against Patch Attacks
- arxiv url: http://arxiv.org/abs/2002.10733v3
- Date: Fri, 8 Jan 2021 06:36:56 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-28 20:35:17.478500
- Title: (De)Randomized Smoothing for Certifiable Defense against Patch Attacks
- Title(参考訳): (De)パッチ攻撃に対する認証防御のためのランダム化平滑化
- Authors: Alexander Levine, Soheil Feizi
- Abstract要約: 我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
- 参考スコア(独自算出の注目度): 136.79415677706612
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Patch adversarial attacks on images, in which the attacker can distort pixels
within a region of bounded size, are an important threat model since they
provide a quantitative model for physical adversarial attacks. In this paper,
we introduce a certifiable defense against patch attacks that guarantees for a
given image and patch attack size, no patch adversarial examples exist. Our
method is related to the broad class of randomized smoothing robustness schemes
which provide high-confidence probabilistic robustness certificates. By
exploiting the fact that patch attacks are more constrained than general sparse
attacks, we derive meaningfully large robustness certificates against them.
Additionally, in contrast to smoothing-based defenses against L_p and sparse
attacks, our defense method against patch attacks is de-randomized, yielding
improved, deterministic certificates. Compared to the existing patch
certification method proposed by Chiang et al. (2020), which relies on interval
bound propagation, our method can be trained significantly faster, achieves
high clean and certified robust accuracy on CIFAR-10, and provides certificates
at ImageNet scale. For example, for a 5-by-5 patch attack on CIFAR-10, our
method achieves up to around 57.6% certified accuracy (with a classifier with
around 83.8% clean accuracy), compared to at most 30.3% certified accuracy for
the existing method (with a classifier with around 47.8% clean accuracy). Our
results effectively establish a new state-of-the-art of certifiable defense
against patch attacks on CIFAR-10 and ImageNet. Code is available at
https://github.com/alevine0/patchSmoothing.
- Abstract(参考訳): 攻撃者が境界サイズの領域内のピクセルを歪めることができる画像に対する攻撃パッチは、物理的な敵攻撃の定量的モデルを提供するため、重要な脅威モデルである。
本稿では,特定の画像とパッチ攻撃サイズを保証するパッチ攻撃に対する認証された防御法を導入するが,パッチ反対例は存在しない。
本手法は,高信頼確率ロバスト性証明を提供するランダム化スムージングロバスト性スキームの幅広いクラスに関連している。
パッチアタックは一般的なスパースアタックよりも制約が強いという事実を利用して、意味のある大きな堅牢性証明を導き出す。
さらに,L_pやスパース攻撃に対するスムーズな防御法とは対照的に,パッチ攻撃に対する防御法は非ランダム化され,改良された決定論的証明書が得られた。
区間境界伝播に依存するchiangら(2020)が提案している既存のパッチ認証手法と比較して,より高速にトレーニングでき,cifar-10で高い正確性と堅牢性を実現し,imagenetスケールで証明書を提供することができる。
例えば、CIFAR-10に対する5-by-5パッチ攻撃では、既存の手法の30.3%の認証精度(47.8%の認証精度を持つ分類器)と比較して、57.6%の認証精度(83.8%のクリーン精度を持つ分類器)を達成した。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
コードはhttps://github.com/alevine0/patchsmoothingで入手できる。
関連論文リスト
- Evaluating the Robustness of the "Ensemble Everything Everywhere" Defense [90.7494670101357]
あらゆるものをアンサンブルすることは、敵の例に対する防御である。
この防御は敵の攻撃に対して堅牢ではないことを示す。
次に、標準的なアダプティブアタック技術を用いて、防御の堅牢な精度を低下させる。
論文 参考訳(メタデータ) (2024-11-22T10:17:32Z) - Towards Practical Certifiable Patch Defense with Vision Transformer [34.00374565048962]
視覚変換器(ViT)を非ランダム化平滑化(DS)の枠組みに導入する。
実世界における効率的な推論と展開のために,我々は,オリジナルViTのグローバルな自己アテンション構造を,孤立バンド単位の自己アテンションに革新的に再構築する。
論文 参考訳(メタデータ) (2022-03-16T10:39:18Z) - Practical Evaluation of Adversarial Robustness via Adaptive Auto Attack [96.50202709922698]
実用的な評価手法は、便利な(パラメータフリー)、効率的な(イテレーションの少ない)、信頼性を持つべきである。
本稿では,パラメータフリーな適応オートアタック (A$3$) 評価手法を提案する。
論文 参考訳(メタデータ) (2022-03-10T04:53:54Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - PatchCensor: Patch Robustness Certification for Transformers via
Exhaustive Testing [7.88628640954152]
Vision Transformer (ViT)は、他の古典的ニューラルネットワークと同様に非常に非線形であることが知られており、自然なパッチの摂動と逆パッチの摂動の両方によって容易に騙される。
この制限は、特に安全クリティカルなシナリオにおいて、実際の産業環境におけるViTの展開に脅威をもたらす可能性がある。
PatchCensorを提案する。このPatchCensorは、徹底的なテストを適用することで、ViTのパッチ堅牢性を証明することを目的としている。
論文 参考訳(メタデータ) (2021-11-19T23:45:23Z) - PatchCleanser: Certifiably Robust Defense against Adversarial Patches
for Any Image Classifier [30.559585856170216]
画像分類モデルに対する逆パッチ攻撃は、局所化された制限された画像領域(すなわち、パッチ)に逆向きに作られたピクセルを注入することを目的としている。
我々はPatchCleanserを,任意の画像分類モデルと互換性のある敵パッチに対する堅牢な防御法として提案する。
我々は,ImageNet, ImageNette, CIFAR-10, CIFAR-100, SVHN, Flowers-102データセットに対する防御効果を広く評価した。
論文 参考訳(メタデータ) (2021-08-20T12:09:33Z) - Efficient Certified Defenses Against Patch Attacks on Image Classifiers [13.858624044986815]
BagCertは、効率的な認証を可能にする、新しいモデルアーキテクチャと認定手順の組み合わせである。
CIFAR10では、BagCertは1つのGPU上で43秒でサンプルを認証し、5x5パッチに対して86%のクリーンと60%の認証精度を得る。
論文 参考訳(メタデータ) (2021-02-08T12:11:41Z) - PatchGuard: A Provably Robust Defense against Adversarial Patches via
Small Receptive Fields and Masking [46.03749650789915]
画像の制限領域内の画素を任意に修正することで、機械学習モデルの誤分類を誘発することを目的としている。
そこで我々はPatchGuardという汎用防衛フレームワークを提案する。このフレームワークは、局所的な敵パッチに対して高い清潔さを維持しつつ、高い堅牢性を達成できる。
論文 参考訳(メタデータ) (2020-05-17T03:38:34Z) - Certified Defenses for Adversarial Patches [72.65524549598126]
敵パッチ攻撃は、現実世界のコンピュータビジョンシステムに対する最も実用的な脅威モデルの一つである。
本稿では,パッチアタックに対する認証と実証的防御について検討する。
論文 参考訳(メタデータ) (2020-03-14T19:57:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。