論文の概要: PatchCleanser: Certifiably Robust Defense against Adversarial Patches
for Any Image Classifier
- arxiv url: http://arxiv.org/abs/2108.09135v1
- Date: Fri, 20 Aug 2021 12:09:33 GMT
- ステータス: 処理完了
- システム内更新日: 2021-08-23 13:20:40.211515
- Title: PatchCleanser: Certifiably Robust Defense against Adversarial Patches
for Any Image Classifier
- Title(参考訳): patchcleanser: 画像分類器の敵パッチに対する証明可能な堅牢な防御
- Authors: Chong Xiang, Saeed Mahloujifar, Prateek Mittal
- Abstract要約: 画像分類モデルに対する逆パッチ攻撃は、局所化された制限された画像領域(すなわち、パッチ)に逆向きに作られたピクセルを注入することを目的としている。
我々はPatchCleanserを,任意の画像分類モデルと互換性のある敵パッチに対する堅牢な防御法として提案する。
我々は,ImageNet, ImageNette, CIFAR-10, CIFAR-100, SVHN, Flowers-102データセットに対する防御効果を広く評価した。
- 参考スコア(独自算出の注目度): 30.559585856170216
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: The adversarial patch attack against image classification models aims to
inject adversarially crafted pixels within a localized restricted image region
(i.e., a patch) for inducing model misclassification. This attack can be
realized in the physical world by printing and attaching the patch to the
victim object and thus imposes a real-world threat to computer vision systems.
To counter this threat, we propose PatchCleanser as a certifiably robust
defense against adversarial patches that is compatible with any image
classifier. In PatchCleanser, we perform two rounds of pixel masking on the
input image to neutralize the effect of the adversarial patch. In the first
round of masking, we apply a set of carefully generated masks to the input
image and evaluate the model prediction on every masked image. If model
predictions on all one-masked images reach a unanimous agreement, we output the
agreed prediction label. Otherwise, we perform a second round of masking to
settle the disagreement, in which we evaluate model predictions on two-masked
images to robustly recover the correct prediction label. Notably, we can prove
that our defense will always make correct predictions on certain images against
any adaptive white-box attacker within our threat model, achieving certified
robustness. We extensively evaluate our defense on the ImageNet, ImageNette,
CIFAR-10, CIFAR-100, SVHN, and Flowers-102 datasets and demonstrate that our
defense achieves similar clean accuracy as state-of-the-art classification
models and also significantly improves certified robustness from prior works.
Notably, our defense can achieve 83.8% top-1 clean accuracy and 60.4% top-1
certified robust accuracy against a 2%-pixel square patch anywhere on the
1000-class ImageNet dataset.
- Abstract(参考訳): 画像分類モデルに対する逆パッチ攻撃は、モデル誤分類を誘導するために、局所的な制限された画像領域(すなわちパッチ)内で、反対に作られたピクセルを注入することを目的としている。
この攻撃は、被害者のオブジェクトにパッチを印刷して取り付けることで、物理的世界で実現でき、コンピュータビジョンシステムに現実世界の脅威を課すことができる。
この脅威に対処するため、画像分類器と互換性のある敵対パッチに対する堅牢な防御手段として、PatchCleanserを提案する。
PatchCleanserでは、入力画像上に2ラウンドのピクセルマスキングを行い、対向パッチの効果を中和する。
マスクの第1ラウンドでは、入力画像に慎重に生成されたマスクのセットを適用し、マスク画像毎にモデル予測を評価する。
全画像のモデル予測が一致した一致に達した場合、一致した予測ラベルを出力する。
そうでない場合は、2枚マスキング画像のモデル予測を評価し、正しい予測ラベルをロバストに復元する第2ラウンドのマスキングを行う。
特に、脅威モデル内の任意の適応的ホワイトボックス攻撃に対して、特定の画像に対して常に正しい予測を行い、認証された堅牢性を達成することを証明できます。
我々は,ImageNet, ImageNette, CIFAR-10, CIFAR-100, SVHN, Flowers-102データセットに対する防衛を広範囲に評価し,我々の防衛が最先端の分類モデルと類似したクリーンな精度を達成し,先行研究から証明された堅牢性を著しく向上させることを示した。
特に、当社の防御は、1000クラスのimagenetデータセット上のどこでも2%ピクセルの正方形パッチに対して、83.8%のクリーンな精度と60.4%のtop-1認定ロバストな精度を達成できます。
関連論文リスト
- Towards Robust Image Stitching: An Adaptive Resistance Learning against
Compatible Attacks [66.98297584796391]
画像縫合は、様々な視点から捉えた画像をシームレスに単一の視野画像に統合する。
一対の撮像画像が与えられたとき、人間の視覚システムに気づかない微妙な摂動と歪みは、対応の一致を攻撃しがちである。
本稿では,敵対的攻撃に対する画像縫合の堅牢性向上に向けた最初の試みについて述べる。
論文 参考訳(メタデータ) (2024-02-25T02:36:33Z) - Revisiting Image Classifier Training for Improved Certified Robust
Defense against Adversarial Patches [7.90470727433401]
本稿では,2ラウンドのグリーディマスキング戦略 (Greedy Cutout) を提案する。
私たちは、Greedy Cutoutでトレーニングされたモデルが、PatchCleanserのRandom Cutoutよりも、さまざまなデータセットの信頼性を向上できることを示します。
論文 参考訳(メタデータ) (2023-06-22T00:13:44Z) - Task-agnostic Defense against Adversarial Patch Attacks [25.15948648034204]
対向パッチは、指定された局所領域内に対向画素を注入することにより、誤誘導ニューラルネットワークを攻撃する。
我々は、ホワイトボックスの敵パッチに対するタスク非依存の防御であるPatchZeroを提示する。
本手法は, 良性性能の劣化を伴わずに, SOTAの頑健な精度を実現する。
論文 参考訳(メタデータ) (2022-07-05T03:49:08Z) - Towards Practical Certifiable Patch Defense with Vision Transformer [34.00374565048962]
視覚変換器(ViT)を非ランダム化平滑化(DS)の枠組みに導入する。
実世界における効率的な推論と展開のために,我々は,オリジナルViTのグローバルな自己アテンション構造を,孤立バンド単位の自己アテンションに革新的に再構築する。
論文 参考訳(メタデータ) (2022-03-16T10:39:18Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - PatchGuard++: Efficient Provable Attack Detection against Adversarial
Patches [28.94435153159868]
逆パッチは、制限領域内の画像画素を任意に操作して、モデル誤分類を誘導することができる。
最近の堅牢な防御は、通常、小さな受容フィールドを持つCNNを使用することで、パッチガードフレームワークに従います。
PatchGuardをPatchGuard++に拡張し、敵のパッチ攻撃を確実に検出し、証明可能な堅牢な精度とクリーンな精度を向上します。
論文 参考訳(メタデータ) (2021-04-26T14:22:33Z) - FaceGuard: A Self-Supervised Defense Against Adversarial Face Images [59.656264895721215]
我々は,多種多様な対向顔を自動的に検出し,局所化し,浄化する,新たな自己監督型対向防御フレームワークFaceGuardを提案する。
トレーニング中、FaceGuardは、困難で多様な敵攻撃を自動的に合成し、分類器が実際の顔と区別することを学ぶことができる。
LFWデータセットの実験結果から、FaceGuardは6つの未知の敵攻撃タイプに対して99.81%の精度で検出できることが示された。
論文 参考訳(メタデータ) (2020-11-28T21:18:46Z) - PatchGuard: A Provably Robust Defense against Adversarial Patches via
Small Receptive Fields and Masking [46.03749650789915]
画像の制限領域内の画素を任意に修正することで、機械学習モデルの誤分類を誘発することを目的としている。
そこで我々はPatchGuardという汎用防衛フレームワークを提案する。このフレームワークは、局所的な敵パッチに対して高い清潔さを維持しつつ、高い堅牢性を達成できる。
論文 参考訳(メタデータ) (2020-05-17T03:38:34Z) - Certified Defenses for Adversarial Patches [72.65524549598126]
敵パッチ攻撃は、現実世界のコンピュータビジョンシステムに対する最も実用的な脅威モデルの一つである。
本稿では,パッチアタックに対する認証と実証的防御について検討する。
論文 参考訳(メタデータ) (2020-03-14T19:57:31Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。