論文の概要: Certifiable (Multi)Robustness Against Patch Attacks Using ERM
- arxiv url: http://arxiv.org/abs/2303.08944v1
- Date: Wed, 15 Mar 2023 21:30:14 GMT
- ステータス: 処理完了
- システム内更新日: 2023-03-17 17:50:51.885027
- Title: Certifiable (Multi)Robustness Against Patch Attacks Using ERM
- Title(参考訳): ERMを用いたパッチ攻撃に対する認証(マルチ)ロバスト性
- Authors: Saba Ahmadi, Avrim Blum, Omar Montasser, Kevin Stangl
- Abstract要約: Patch-Cleanser (Xiang et al. [2022])の最近の攻撃に対する防御について検討する。
Patch-Cleanserアルゴリズムは2マスクの正当性を持つために予測モデルを必要とする。
本研究では,EMMオラクルを用いて2つのマスク操作に頑健な予測子を学習するアルゴリズムを提案する。
- 参考スコア(独自算出の注目度): 16.7947327426365
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Consider patch attacks, where at test-time an adversary manipulates a test
image with a patch in order to induce a targeted misclassification. We consider
a recent defense to patch attacks, Patch-Cleanser (Xiang et al. [2022]). The
Patch-Cleanser algorithm requires a prediction model to have a ``two-mask
correctness'' property, meaning that the prediction model should correctly
classify any image when any two blank masks replace portions of the image.
Xiang et al. learn a prediction model to be robust to two-mask operations by
augmenting the training set with pairs of masks at random locations of training
images and performing empirical risk minimization (ERM) on the augmented
dataset.
However, in the non-realizable setting when no predictor is perfectly correct
on all two-mask operations on all images, we exhibit an example where ERM
fails. To overcome this challenge, we propose a different algorithm that
provably learns a predictor robust to all two-mask operations using an ERM
oracle, based on prior work by Feige et al. [2015]. We also extend this result
to a multiple-group setting, where we can learn a predictor that achieves low
robust loss on all groups simultaneously.
- Abstract(参考訳): テスト時に相手がテストイメージをパッチで操作し、ターゲットの誤分類を誘導するパッチ攻撃を考える。
Patch-Cleanser (Xiang et al. [2022])の最近の攻撃に対する防御について検討する。
Patch-Cleanserアルゴリズムは、"two-mask correctness'プロパティを持つように予測モデルを必要とする。
Xiangらは、トレーニング画像のランダムな位置にあるマスクのペアでトレーニングセットを増強し、拡張データセット上で経験的リスク最小化(ERM)を実行することにより、2マスク操作に対して堅牢な予測モデルを学習する。
しかし、すべての画像上の2マスク操作に対して予測器が完全に正しくないような実現不可能な環境では、ERMが失敗する例を示す。
この課題を克服するために,feigeらによる先行研究に基づいて,erm oracleを用いて,すべての2マスク操作にロバストな予測器を確実に学習する別のアルゴリズムを提案する。
[2015].
また、この結果を複数のグループ設定に拡張し、同時に全てのグループに対してロバスト損失の少ない予測子を学習する。
関連論文リスト
- AdaMAE: Adaptive Masking for Efficient Spatiotemporal Learning with
Masked Autoencoders [44.87786478095987]
Masked Autoencodersは、画像、テキスト、オーディオ、ビデオなどの一般的な表現を、可視データのトークンからマスクされた入力データによって学習する。
本稿では,エンド・ツー・エンドのトレーニングが可能なMAEに対する適応型マスキング戦略を提案する。
AdaMAEは補助サンプリングネットワークを用いて意味的コンテキストに基づいて可視トークンをサンプリングする。
論文 参考訳(メタデータ) (2022-11-16T18:59:48Z) - Certified Defences Against Adversarial Patch Attacks on Semantic
Segmentation [44.13336566131961]
Demasked Smoothingは、パッチ攻撃に対するセマンティックセグメンテーションモデルの堅牢性を証明するための最初のアプローチである。
Demasked Smoothingは、さまざまなマスキング戦略を使用して、認証検出と認定回復の両方に適用することができる。
大規模な実験では、Demasked Smoothingが検出タスクにおける1%パッチの画素予測の64%、ADE20Kデータセットのリカバリタスクの0.5%パッチに対して48%を平均で認証できることが示されている。
論文 参考訳(メタデータ) (2022-09-13T13:24:22Z) - Versatile Weight Attack via Flipping Limited Bits [68.45224286690932]
本研究では,展開段階におけるモデルパラメータを変更する新たな攻撃パラダイムについて検討する。
有効性とステルスネスの目標を考慮し、ビットフリップに基づく重み攻撃を行うための一般的な定式化を提供する。
SSA(Single sample attack)とTSA(Singr sample attack)の2例を報告した。
論文 参考訳(メタデータ) (2022-07-25T03:24:58Z) - Zero-Shot Certified Defense against Adversarial Patches with Vision
Transformers [1.954421339677627]
逆パッチ攻撃は、入力画像の制限領域内の画素を任意に修正することで、機械学習モデルを騙すことを目的としている。
ビジョントランスフォーマー(ViT)モデルに基づく敵パッチに対するゼロショット認証防御であるPatchVetoを提案する。
論文 参考訳(メタデータ) (2021-11-19T23:45:23Z) - Adaptive Shrink-Mask for Text Detection [91.34459257409104]
既存のリアルタイムテキスト検出器は、ストリップマスクによってテキストの輪郭を直接再構築する。
予測された収縮マスクへの依存は不安定な検出結果をもたらす。
スーパーピクセルウィンドウ (SPW) はネットワークを監督するように設計されている。
論文 参考訳(メタデータ) (2021-11-18T07:38:57Z) - Masked Autoencoders Are Scalable Vision Learners [60.97703494764904]
Masked Autoencoders (MAE) は、コンピュータビジョンのためのスケーラブルな自己教師型学習システムである。
我々は入力画像のランダムなパッチを隠蔽し、欠落したピクセルを再構成する。
これら2つの設計を結合することで,大規模モデルを効率的かつ効率的にトレーニングすることが可能になります。
論文 参考訳(メタデータ) (2021-11-11T18:46:40Z) - PatchCleanser: Certifiably Robust Defense against Adversarial Patches
for Any Image Classifier [30.559585856170216]
画像分類モデルに対する逆パッチ攻撃は、局所化された制限された画像領域(すなわち、パッチ)に逆向きに作られたピクセルを注入することを目的としている。
我々はPatchCleanserを,任意の画像分類モデルと互換性のある敵パッチに対する堅牢な防御法として提案する。
我々は,ImageNet, ImageNette, CIFAR-10, CIFAR-100, SVHN, Flowers-102データセットに対する防御効果を広く評価した。
論文 参考訳(メタデータ) (2021-08-20T12:09:33Z) - Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm [93.80082636284922]
少数の敵対的攻撃は、数ピクセルを摂動するだけでディープ・ネットワーク(DNN)を騙すことができる。
近年の取り組みは、他の等級のl_infty摂動と組み合わせている。
本稿では,空間的・神経的摂動に対処するホモトピーアルゴリズムを提案する。
論文 参考訳(メタデータ) (2021-06-10T20:11:36Z) - Targeted Attack against Deep Neural Networks via Flipping Limited Weight
Bits [55.740716446995805]
我々は,悪質な目的で展開段階におけるモデルパラメータを修飾する新しい攻撃パラダイムについて検討する。
私たちのゴールは、特定のサンプルをサンプル修正なしでターゲットクラスに誤分類することです。
整数プログラミングにおける最新の手法を利用することで、このBIP問題を連続最適化問題として等価に再構成する。
論文 参考訳(メタデータ) (2021-02-21T03:13:27Z) - Improving Self-supervised Pre-training via a Fully-Explored Masked
Language Model [57.77981008219654]
Masked Language Model (MLM)フレームワークは、自己教師型言語事前学習に広く採用されている。
そこで本研究では,テキストシーケンスを複数の非重複セグメントに分割するマスキング手法を提案する。
論文 参考訳(メタデータ) (2020-10-12T21:28:14Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。