論文の概要: PatchCensor: Patch Robustness Certification for Transformers via
Exhaustive Testing
- arxiv url: http://arxiv.org/abs/2111.10481v2
- Date: Wed, 5 Apr 2023 05:21:05 GMT
- ステータス: 処理完了
- システム内更新日: 2023-04-06 16:44:20.715745
- Title: PatchCensor: Patch Robustness Certification for Transformers via
Exhaustive Testing
- Title(参考訳): PatchCensor: エクササイズテストによるトランスフォーマーのパッチロバストネス認定
- Authors: Yuheng Huang, Lei Ma, Yuanchun Li
- Abstract要約: Vision Transformer (ViT)は、他の古典的ニューラルネットワークと同様に非常に非線形であることが知られており、自然なパッチの摂動と逆パッチの摂動の両方によって容易に騙される。
この制限は、特に安全クリティカルなシナリオにおいて、実際の産業環境におけるViTの展開に脅威をもたらす可能性がある。
PatchCensorを提案する。このPatchCensorは、徹底的なテストを適用することで、ViTのパッチ堅牢性を証明することを目的としている。
- 参考スコア(独自算出の注目度): 7.88628640954152
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Vision Transformer (ViT) is known to be highly nonlinear like other classical
neural networks and could be easily fooled by both natural and adversarial
patch perturbations. This limitation could pose a threat to the deployment of
ViT in the real industrial environment, especially in safety-critical
scenarios. In this work, we propose PatchCensor, aiming to certify the patch
robustness of ViT by applying exhaustive testing. We try to provide a provable
guarantee by considering the worst patch attack scenarios. Unlike empirical
defenses against adversarial patches that may be adaptively breached, certified
robust approaches can provide a certified accuracy against arbitrary attacks
under certain conditions. However, existing robustness certifications are
mostly based on robust training, which often requires substantial training
efforts and the sacrifice of model performance on normal samples. To bridge the
gap, PatchCensor seeks to improve the robustness of the whole system by
detecting abnormal inputs instead of training a robust model and asking it to
give reliable results for every input, which may inevitably compromise
accuracy. Specifically, each input is tested by voting over multiple inferences
with different mutated attention masks, where at least one inference is
guaranteed to exclude the abnormal patch. This can be seen as complete-coverage
testing, which could provide a statistical guarantee on inference at the test
time. Our comprehensive evaluation demonstrates that PatchCensor is able to
achieve high certified accuracy (e.g. 67.1% on ImageNet for 2%-pixel
adversarial patches), significantly outperforming state-of-the-art techniques
while achieving similar clean accuracy (81.8% on ImageNet). Meanwhile, our
technique also supports flexible configurations to handle different adversarial
patch sizes (up to 25%) by simply changing the masking strategy.
- Abstract(参考訳): 視覚トランスフォーマー(vit)は他の古典的ニューラルネットワークと同様に高度に非線形であることが知られており、自然と逆のパッチの摂動によって容易に騙される可能性がある。
この制限は、特に安全クリティカルなシナリオにおいて、実際の産業環境におけるViTの展開に脅威をもたらす可能性がある。
本研究では,徹底的なテストを適用することで,ViTのパッチ堅牢性を証明することを目的としたPatchCensorを提案する。
最悪のパッチ攻撃シナリオを考慮して、証明可能な保証を提供しようとしています。
適応的に違反する可能性のある敵パッチに対する経験的防御とは異なり、認証された堅牢なアプローチは、特定の条件下で任意の攻撃に対して認証された精度を提供することができる。
しかし、既存の堅牢性認定は主に堅牢なトレーニングに基づいているため、かなりのトレーニング努力と通常のサンプルに対するモデルパフォーマンスの犠牲がしばしば必要である。
ギャップを埋めるために、PatchCensorは、頑健なモデルをトレーニングする代わりに異常な入力を検出し、必然的に精度を損なう可能性のある全ての入力に対して信頼性の高い結果を与えるよう要求することで、システム全体の堅牢性を改善することを目指している。
具体的には、各入力は、異なる変更された注目マスクを持つ複数の推論に投票することでテストされる。
これは完全なカバレッジテストと見ることができ、テスト時の推論に関する統計的保証を提供することができる。
我々の総合評価は、PatchCensorが高い認証精度(例えば、2%ピクセルの対向パッチでImageNetで67.1%)を達成できることを示し、同じクリーンな精度(画像Netで81.8%)を達成しつつ、最先端技術を大幅に上回っている。
また,マスキング戦略を単純に変更することで,異なるパッチサイズ(最大25%)を処理するための柔軟な構成もサポートする。
関連論文リスト
- RADAP: A Robust and Adaptive Defense Against Diverse Adversarial Patches
on Face Recognition [13.618387142029663]
ディープラーニングを利用した顔認識システムは、敵の攻撃に対して脆弱である。
多様な敵パッチに対する堅牢かつ適応的な防御機構であるRADAPを提案する。
RADAPの有効性を検証するための総合的な実験を行った。
論文 参考訳(メタデータ) (2023-11-29T03:37:14Z) - Improving Adversarial Robustness of Masked Autoencoders via Test-time
Frequency-domain Prompting [133.55037976429088]
BERTプリトレーニング(BEiT, MAE)を備えた視覚変換器の対向ロバスト性について検討する。
意外な観察は、MAEが他のBERT事前訓練法よりも敵の頑健さが著しく悪いことである。
我々は,MAEの対角的堅牢性を高めるための,シンプルで効果的な方法を提案する。
論文 参考訳(メタデータ) (2023-08-20T16:27:17Z) - Confidence-aware Training of Smoothed Classifiers for Certified
Robustness [75.95332266383417]
我々は「ガウス雑音下での精度」を、入力に対する対角的ロバスト性の容易に計算可能なプロキシとして利用する。
実験の結果, 提案手法は, 最先端の訓練手法による信頼性向上を継続的に示すことがわかった。
論文 参考訳(メタデータ) (2022-12-18T03:57:12Z) - Benchmarking Adversarial Patch Against Aerial Detection [11.591143898488312]
適応パッチに基づく新しい物理攻撃(AP-PA)フレームワークを提案する。
AP-PAは、物理力学と様々なスケールに適応する逆パッチを生成する。
航空探知作業における敵パッチの攻撃効果を評価するため, 包括的, 一貫性, 厳密なベンチマークを最初に確立した。
論文 参考訳(メタデータ) (2022-10-30T07:55:59Z) - Towards Practical Certifiable Patch Defense with Vision Transformer [34.00374565048962]
視覚変換器(ViT)を非ランダム化平滑化(DS)の枠組みに導入する。
実世界における効率的な推論と展開のために,我々は,オリジナルViTのグローバルな自己アテンション構造を,孤立バンド単位の自己アテンションに革新的に再構築する。
論文 参考訳(メタデータ) (2022-03-16T10:39:18Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - Certified Patch Robustness via Smoothed Vision Transformers [77.30663719482924]
視覚変換器を用いることで、認証済みのパッチの堅牢性が大幅に向上することを示す。
これらの改善は、視覚変換器が主にマスクされた画像を優雅に扱う能力に起因している。
論文 参考訳(メタデータ) (2021-10-11T17:44:05Z) - Efficient Certified Defenses Against Patch Attacks on Image Classifiers [13.858624044986815]
BagCertは、効率的な認証を可能にする、新しいモデルアーキテクチャと認定手順の組み合わせである。
CIFAR10では、BagCertは1つのGPU上で43秒でサンプルを認証し、5x5パッチに対して86%のクリーンと60%の認証精度を得る。
論文 参考訳(メタデータ) (2021-02-08T12:11:41Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z) - Certified Robustness to Label-Flipping Attacks via Randomized Smoothing [105.91827623768724]
機械学習アルゴリズムは、データ中毒攻撃の影響を受けやすい。
任意の関数に対するランダム化スムージングの統一的なビューを示す。
本稿では,一般的なデータ中毒攻撃に対して,ポイントワイズで確実に堅牢な分類器を構築するための新しい戦略を提案する。
論文 参考訳(メタデータ) (2020-02-07T21:28:30Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。