論文の概要: Image Shortcut Squeezing: Countering Perturbative Availability Poisons
with Compression
- arxiv url: http://arxiv.org/abs/2301.13838v1
- Date: Tue, 31 Jan 2023 18:31:20 GMT
- ステータス: 処理完了
- システム内更新日: 2023-02-01 15:25:54.932907
- Title: Image Shortcut Squeezing: Countering Perturbative Availability Poisons
with Compression
- Title(参考訳): Image Shortcut Squeezing: 圧縮による摂動性アベイラビリティーの対策
- Authors: Zhuoran Liu, Zhengyu Zhao, Martha Larson
- Abstract要約: 摂動性アベイラビリティ中毒(PAP)は、モデルトレーニングでの使用を防ぐために、画像に小さな変更を加える。
我々は、12の最先端のPAP手法が画像ショートカット・スクイーズ(ISS)に対して脆弱であることを示す広範な実験を行った。
ISS は CIFAR-10 モデルの精度を 811.73%$ に復元し、以前の最高の前処理ベースの対策を 37.97%$ で上回った。
- 参考スコア(独自算出の注目度): 5.682107851677069
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Perturbative availability poisoning (PAP) adds small changes to images to
prevent their use for model training. Current research adopts the belief that
practical and effective approaches to countering such poisons do not exist. In
this paper, we argue that it is time to abandon this belief. We present
extensive experiments showing that 12 state-of-the-art PAP methods are
vulnerable to Image Shortcut Squeezing (ISS), which is based on simple
compression. For example, on average, ISS restores the CIFAR-10 model accuracy
to $81.73\%$, surpassing the previous best preprocessing-based countermeasures
by $37.97\%$ absolute. ISS also (slightly) outperforms adversarial training and
has higher generalizability to unseen perturbation norms and also higher
efficiency. Our investigation reveals that the property of PAP perturbations
depends on the type of surrogate model used for poison generation, and it
explains why a specific ISS compression yields the best performance for a
specific type of PAP perturbation. We further test stronger, adaptive
poisoning, and show it falls short of being an ideal defense against ISS.
Overall, our results demonstrate the importance of considering various (simple)
countermeasures to ensure the meaningfulness of analysis carried out during the
development of availability poisons.
- Abstract(参考訳): 摂動性アベイラビリティ中毒(PAP)は、モデルトレーニングでの使用を防ぐために、画像に小さな変更を加える。
現在の研究は、このような毒に対する実用的で効果的なアプローチは存在しないという信念を取り入れている。
本稿では,この信念を捨てる時が来たと論じる。
簡単な圧縮に基づく画像ショートカットスキーズ(ISS)に対して,12の最先端PAP手法が脆弱であることを示す広範な実験を行った。
例えば、ISS は CIFAR-10 モデルの精度を 811.73 %$ に復元し、以前の最良の前処理ベースの対策を 37.97 %$ で上回った。
ISSは(わずかに)敵の訓練より優れており、摂動規範の見当たらない一般化性が高く、効率も高い。
本研究により, pap摂動の特性は, 毒物生成に用いられるサロゲートモデルの種類に依存し, 特定のiss圧縮が特定のタイプのpap摂動に最適な性能をもたらす理由を明らかにした。
我々はさらに、より強く適応的な中毒をテストし、それがissに対する理想的な防御であることを示す。
総じて,アベイラビリティ毒の発生過程における分析の有意義性を確保するために,様々な(単純な)対策を検討することが重要であることを示した。
関連論文リスト
- HR-APR: APR-agnostic Framework with Uncertainty Estimation and
Hierarchical Refinement for Camera Relocalisation [13.06895639222075]
APR(Absolute Pose Regressors)は、モノクロ画像から直接カメラのポーズを推定するが、その精度は異なるクエリに対して不安定である。
不確かさを意識したAPRは、推定されたポーズに関する不確実な情報を提供し、これらの信頼できない予測の影響を軽減する。
本研究では,クエリとデータベースの特徴間のコサイン類似度推定として不確実性推定を定式化する新しいAPR非依存フレームワークHR-APRを紹介する。
論文 参考訳(メタデータ) (2024-02-22T08:21:46Z) - Defending Against Weight-Poisoning Backdoor Attacks for
Parameter-Efficient Fine-Tuning [60.38625902569202]
パラメータ効率のよい微調整(PEFT)は,重み付けによるバックドア攻撃の影響を受けやすいことを示す。
PEFTを利用したPSIM(Poisoned Sample Identification Module)を開発した。
テキスト分類タスク,5つの微調整戦略,および3つの重み付けバックドア攻撃手法について実験を行った。
論文 参考訳(メタデータ) (2024-02-19T14:22:54Z) - Universal Adversarial Framework to Improve Adversarial Robustness for
Diabetic Retinopathy Detection [33.08089616645845]
糖尿病網膜症(英: Diabetic Retinopathy, DR)は、糖尿病に合併した疾患である。
深層学習に基づくシステムは、臨床診断の自動化支援として徐々に導入されている。
我々は、DRを検出するために、UAP(Universal Adversarial Perturbations)を用いて、メディカルディープニューラルネットワーク(DNN)の脆弱性を定量化する。
論文 参考訳(メタデータ) (2023-12-13T14:58:17Z) - DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial
Purification [63.65630243675792]
拡散に基づく浄化防御は拡散モデルを利用して、敵の例の人工摂動を除去する。
近年の研究では、先進的な攻撃でさえ、そのような防御を効果的に破壊できないことが示されている。
拡散型浄化防衛を効果的かつ効率的に行うための統合フレームワークDiffAttackを提案する。
論文 参考訳(メタデータ) (2023-10-27T15:17:50Z) - On Practical Aspects of Aggregation Defenses against Data Poisoning
Attacks [58.718697580177356]
悪意のあるトレーニングサンプルを持つディープラーニングモデルに対する攻撃は、データ中毒として知られている。
データ中毒に対する防衛戦略の最近の進歩は、認証された毒性の堅牢性を達成するためのアグリゲーション・スキームの有効性を強調している。
ここでは、Deep Partition Aggregation(ディープ・パーティション・アグリゲーション・アグリゲーション)、代表的アグリゲーション・ディフェンス(アグリゲーション・ディフェンス)に焦点を当て、効率、性能、堅牢性など、その実践的側面を評価する。
論文 参考訳(メタデータ) (2023-06-28T17:59:35Z) - Fast Adversarial Training with Adaptive Step Size [62.37203478589929]
トレーニングインスタンスの観点から,この現象を考察する。
適応ステップサイズ(ATAS)を用いた逆学習法を提案する。
ATASは、その勾配ノルムに逆比例するインスタンス順応的なステップサイズを学習する。
論文 参考訳(メタデータ) (2022-06-06T08:20:07Z) - Improving White-box Robustness of Pre-processing Defenses via Joint
Adversarial Training [159.69490269760576]
対向騒音の干渉を軽減するため,様々な対向防御技術が提案されている。
プレプロセス法は、ロバストネス劣化効果に悩まされることがある。
この負の効果の潜在的な原因は、敵の訓練例が静的であり、前処理モデルとは独立していることである。
本稿では,JATP(Joint Adversarial Training Based Pre-processing)防衛法を提案する。
論文 参考訳(メタデータ) (2021-06-10T01:45:32Z) - Towards Adversarial Patch Analysis and Certified Defense against Crowd
Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。
近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。
群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文 参考訳(メタデータ) (2021-04-22T05:10:55Z) - Robustness and Transferability of Universal Attacks on Compressed Models [3.187381965457262]
エッジデバイスにDeep Neural Networks(DNN)を効率的にデプロイするには、プルーニングや量子化などのニューラルネットワーク圧縮方法が非常に効果的です。
特に、UAP(Universal Adversarial Perturbations)は、敵対的攻撃の強力なクラスである。
いくつかのシナリオでは、量子化は勾配マスキングを生じさせ、誤ったセキュリティ感覚を与える。
論文 参考訳(メタデータ) (2020-12-10T23:40:23Z) - Blind Adversarial Pruning: Balance Accuracy, Efficiency and Robustness [3.039568795810294]
本稿では, 段階的プルーニング過程において, 圧縮比が異なるプルーニングモデルのロバスト性について検討する。
次に、クリーンなデータと逆の例を段階的なプルーニングプロセスに混合する性能を検証し、逆プルーニング(英語版)と呼ぶ。
AERのバランスを改善するために,視覚的対位法(BAP)というアプローチを提案し,段階的対位法に視覚的対位法を取り入れた。
論文 参考訳(メタデータ) (2020-04-10T02:27:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。