論文の概要: Zero-Shot Certified Defense against Adversarial Patches with Vision
Transformers
- arxiv url: http://arxiv.org/abs/2111.10481v1
- Date: Fri, 19 Nov 2021 23:45:23 GMT
- ステータス: 処理完了
- システム内更新日: 2021-11-26 06:14:59.244475
- Title: Zero-Shot Certified Defense against Adversarial Patches with Vision
Transformers
- Title(参考訳): 視覚変換器を用いた対向パッチに対するゼロショット認証防御
- Authors: Yuheng Huang, Yuanchun Li
- Abstract要約: 逆パッチ攻撃は、入力画像の制限領域内の画素を任意に修正することで、機械学習モデルを騙すことを目的としている。
ビジョントランスフォーマー(ViT)モデルに基づく敵パッチに対するゼロショット認証防御であるPatchVetoを提案する。
- 参考スコア(独自算出の注目度): 1.954421339677627
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Adversarial patch attack aims to fool a machine learning model by arbitrarily
modifying pixels within a restricted region of an input image. Such attacks are
a major threat to models deployed in the physical world, as they can be easily
realized by presenting a customized object in the camera view. Defending
against such attacks is challenging due to the arbitrariness of patches, and
existing provable defenses suffer from poor certified accuracy. In this paper,
we propose PatchVeto, a zero-shot certified defense against adversarial patches
based on Vision Transformer (ViT) models. Rather than training a robust model
to resist adversarial patches which may inevitably sacrifice accuracy,
PatchVeto reuses a pretrained ViT model without any additional training, which
can achieve high accuracy on clean inputs while detecting adversarial patched
inputs by simply manipulating the attention map of ViT. Specifically, each
input is tested by voting over multiple inferences with different attention
masks, where at least one inference is guaranteed to exclude the adversarial
patch. The prediction is certifiably robust if all masked inferences reach
consensus, which ensures that any adversarial patch would be detected with no
false negative. Extensive experiments have shown that PatchVeto is able to
achieve high certified accuracy (e.g. 67.1% on ImageNet for 2%-pixel
adversarial patches), significantly outperforming state-of-the-art methods. The
clean accuracy is the same as vanilla ViT models (81.8% on ImageNet) since the
model parameters are directly reused. Meanwhile, our method can flexibly handle
different adversarial patch sizes by simply changing the masking strategy.
- Abstract(参考訳): 逆パッチ攻撃は、入力画像の制限領域内の画素を任意に修正することで、機械学習モデルを騙すことを目的としている。
このような攻撃は物理的な世界で展開されるモデルにとって大きな脅威であり、カメラビューにカスタマイズされたオブジェクトを表示することで容易に実現できる。
このような攻撃に対する防御はパッチの任意性のために困難であり、既存の証明可能な防御は認証の精度が低い。
本稿では、視覚変換器(ViT)モデルに基づく敵パッチに対するゼロショット認証防御であるPatchVetoを提案する。
PatchVetoは、必然的に精度を犠牲にする可能性のある敵のパッチに抵抗する堅牢なモデルをトレーニングする代わりに、事前訓練されたViTモデルを追加のトレーニングなしで再利用する。
具体的には、各入力は、異なる注意マスクを持つ複数の推論に対して投票することでテストされる。
この予測は、すべてのマスクされた推論が合意に達すると証明可能で、敵のパッチが偽陰性で検出されることを保証する。
広範な実験により、patchvetoは高い認証精度を達成できることが示されている(例えば、imagenetでは2%の対向パッチに対して67.1%)。
クリーンな精度は、モデルパラメータが直接再利用されるため、vanilla vitモデル(imagenetでは81.8%)と同じである。
一方,本手法はマスキング戦略を変更すれば,異なる対向パッチサイズを柔軟に処理できる。
関連論文リスト
- RADAP: A Robust and Adaptive Defense Against Diverse Adversarial Patches
on Face Recognition [13.618387142029663]
ディープラーニングを利用した顔認識システムは、敵の攻撃に対して脆弱である。
多様な敵パッチに対する堅牢かつ適応的な防御機構であるRADAPを提案する。
RADAPの有効性を検証するための総合的な実験を行った。
論文 参考訳(メタデータ) (2023-11-29T03:37:14Z) - Improving Adversarial Robustness of Masked Autoencoders via Test-time
Frequency-domain Prompting [133.55037976429088]
BERTプリトレーニング(BEiT, MAE)を備えた視覚変換器の対向ロバスト性について検討する。
意外な観察は、MAEが他のBERT事前訓練法よりも敵の頑健さが著しく悪いことである。
我々は,MAEの対角的堅牢性を高めるための,シンプルで効果的な方法を提案する。
論文 参考訳(メタデータ) (2023-08-20T16:27:17Z) - Confidence-aware Training of Smoothed Classifiers for Certified
Robustness [75.95332266383417]
我々は「ガウス雑音下での精度」を、入力に対する対角的ロバスト性の容易に計算可能なプロキシとして利用する。
実験の結果, 提案手法は, 最先端の訓練手法による信頼性向上を継続的に示すことがわかった。
論文 参考訳(メタデータ) (2022-12-18T03:57:12Z) - Benchmarking Adversarial Patch Against Aerial Detection [11.591143898488312]
適応パッチに基づく新しい物理攻撃(AP-PA)フレームワークを提案する。
AP-PAは、物理力学と様々なスケールに適応する逆パッチを生成する。
航空探知作業における敵パッチの攻撃効果を評価するため, 包括的, 一貫性, 厳密なベンチマークを最初に確立した。
論文 参考訳(メタデータ) (2022-10-30T07:55:59Z) - Towards Practical Certifiable Patch Defense with Vision Transformer [34.00374565048962]
視覚変換器(ViT)を非ランダム化平滑化(DS)の枠組みに導入する。
実世界における効率的な推論と展開のために,我々は,オリジナルViTのグローバルな自己アテンション構造を,孤立バンド単位の自己アテンションに革新的に再構築する。
論文 参考訳(メタデータ) (2022-03-16T10:39:18Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - Certified Patch Robustness via Smoothed Vision Transformers [77.30663719482924]
視覚変換器を用いることで、認証済みのパッチの堅牢性が大幅に向上することを示す。
これらの改善は、視覚変換器が主にマスクされた画像を優雅に扱う能力に起因している。
論文 参考訳(メタデータ) (2021-10-11T17:44:05Z) - Efficient Certified Defenses Against Patch Attacks on Image Classifiers [13.858624044986815]
BagCertは、効率的な認証を可能にする、新しいモデルアーキテクチャと認定手順の組み合わせである。
CIFAR10では、BagCertは1つのGPU上で43秒でサンプルを認証し、5x5パッチに対して86%のクリーンと60%の認証精度を得る。
論文 参考訳(メタデータ) (2021-02-08T12:11:41Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z) - Certified Robustness to Label-Flipping Attacks via Randomized Smoothing [105.91827623768724]
機械学習アルゴリズムは、データ中毒攻撃の影響を受けやすい。
任意の関数に対するランダム化スムージングの統一的なビューを示す。
本稿では,一般的なデータ中毒攻撃に対して,ポイントワイズで確実に堅牢な分類器を構築するための新しい戦略を提案する。
論文 参考訳(メタデータ) (2020-02-07T21:28:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。