論文の概要: A Curious Case of Remarkable Resilience to Gradient Attacks via Fully Convolutional and Differentiable Front End with a Skip Connection

• arxiv url: http://arxiv.org/abs/2402.17018v2
• Date: Fri, 22 Aug 2025 17:26:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-08-25 16:42:35.992103
• Title: A Curious Case of Remarkable Resilience to Gradient Attacks via Fully Convolutional and Differentiable Front End with a Skip Connection
• Title（参考訳）: スキップ接続による完全畳み込み型および微分型フロントエンドによるグラディエントアタックに対する顕著なレジリエンスの1例
• Authors: Leonid Boytsov, Ameya Joshi, Filipe Condessa,
• Abstract要約: 凍結バックボーン分類器の前に、スキップ接続を持つ微分可能かつ完全な畳み込みモデルを追加する。 学習速度を小さくすることで,背骨の精度を保ったモデルを得ることができた。 これらのアンサンブルは、CIFAR10, CIFAR100, ImageNet上で、ほぼSOTAオートアタック精度が得られると推定する。
• 参考スコア（独自算出の注目度）: 2.409321776852724
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: We experimented with front-end enhanced neural models where a differentiable and fully convolutional model with a skip connection is added before a frozen backbone classifier. By training such composite models using a small learning rate for about one epoch, we obtained models that retained the accuracy of the backbone classifier while being unusually resistant to gradient attacks-including APGD and FAB-T attacks from the AutoAttack package-which we attribute to gradient masking. Although gradient masking is not new, the degree we observe is striking for fully differentiable models without obvious gradient-shattering-e.g., JPEG compression-or gradient-diminishing components. The training recipe to produce such models is also remarkably stable and reproducible: We applied it to three datasets (CIFAR10, CIFAR100, and ImageNet) and several modern architectures (including vision Transformers) without a single failure case. While black-box attacks such as the SQUARE attack and zero-order PGD can partially overcome gradient masking, these attacks are easily defeated by simple randomized ensembles. We estimate that these ensembles achieve near-SOTA AutoAttack accuracy on CIFAR10, CIFAR100, and ImageNet (while retaining almost all clean accuracy of the original classifiers) despite having near-zero accuracy under adaptive attacks. Adversarially training the backbone further amplifies this front-end "robustness". On CIFAR10, the respective randomized ensemble achieved 90.8$\pm 2.5\%$ (99\% CI) accuracy under the full AutoAttack while having only 18.2$\pm 3.6\%$ accuracy under the adaptive attack ($\varepsilon=8/255$, $L^\infty$ norm). We conclude the paper with a discussion of whether randomized ensembling can serve as a practical defense. Code and instructions to reproduce key results are available. https://github.com/searchivarius/curious_case_of_gradient_masking
• Abstract（参考訳）: 我々は、凍結バックボーン分類器の前に、スキップ接続を持つ微分可能で完全な畳み込みモデルを追加する、フロントエンド強化ニューラルモデルの実験を行った。 約1エポシカルな学習率を用いてそのような合成モデルを訓練することにより、我々は、勾配マスキングによるオートアタックパッケージからの APGD や FAB-T 攻撃を含む勾配攻撃に対して異常に耐性を持ちながら、バックボーン分類器の精度を保ったモデルを得た。 グラデーションマスキングは新しいものではないが、明らかなグラデーション・シャッタリング・egやJPEG圧縮・グラデーション・ディミッシング・コンポーネントを使わずに、完全に微分可能なモデルに目を向けている。 我々は、CIFAR10、CIFAR100、ImageNetの3つのデータセットと、視覚変換器を含む最新のアーキテクチャに、単一障害ケースなしで適用しました。 SQUARE攻撃やゼロオーダーPGDのようなブラックボックス攻撃は勾配マスキングを部分的に克服できるが、これらの攻撃は単純なランダム化アンサンブルによって容易に打ち負かされる。 これらのアンサンブルは、CIFAR10、CIFAR100、ImageNet(元の分類器のほぼ全てのクリーンな精度を維持しながら、適応攻撃下ではほぼゼロに近い精度で、ほぼSOTAオートアタック精度を実現すると推定する。 逆行訓練により、バックボーンは、このフロントエンドの"ロバスト性"をさらに増幅する。 CIFAR10では、各ランダムアンサンブルはフルオートアタックで90.8$\pm 2.5\%$ (99\% CI)の精度を達成し、18.2$\pm 3.6\%の精度を適応攻撃で達成した(\varepsilon=8/255$, $L^\infty$ norm)。 本稿では,ランダム化アンサンブルが実用的防御に有効であるかどうかを論じて,論文を締めくくった。 主要な結果を再現するためのコードと命令が利用可能だ。 https://github.com/searchivarius/curious_case_of_gradient_masking

関連論文リスト

• LISArD: Learning Image Similarity to Defend Against Gray-box Adversarial Attacks [13.154512864498912]
  対人訓練(AT)と対人蒸留(AD)は、トレーニング段階での対人的な例を含む。 グレーボックス攻撃は、攻撃者がターゲットネットワークのトレーニングに使用するアーキテクチャとデータセットを知っているが、その勾配にはアクセスできないと仮定する。 我々は、モデルがグレーボックス攻撃に弱いという実証的な証拠を提供し、計算コストや時間コストを増大させることなく、ATを含まないグレーボックス攻撃やホワイトボックス攻撃に対して堅牢性を提供する防衛機構であるLISArDを提案する。
  論文  参考訳（メタデータ） (2025-02-27T22:02:06Z)
• DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial Purification [63.65630243675792]
  拡散に基づく浄化防御は拡散モデルを利用して、敵の例の人工摂動を除去する。 近年の研究では、先進的な攻撃でさえ、そのような防御を効果的に破壊できないことが示されている。 拡散型浄化防衛を効果的かつ効率的に行うための統合フレームワークDiffAttackを提案する。
  論文  参考訳（メタデータ） (2023-10-27T15:17:50Z)
• White-box Membership Inference Attacks against Diffusion Models [13.425726946466423]
  拡散モデルは、より優れた画像生成性能のために、産業応用においてGANを覆い隠し始めている。 拡散モデルに適合したMIAを設計することを目的としている。 まず、ブラックボックス/ホワイトボックスモデルや攻撃特徴の選択といった要因を考慮して、既存のMIAを拡散モデルで徹底的に分析する。 白箱攻撃は現実世界のシナリオで非常に有効であることが分かり、現在最も効果的な攻撃は白箱である。
  論文  参考訳（メタデータ） (2023-08-11T22:03:36Z)
• Carefully Blending Adversarial Training and Purification Improves Adversarial Robustness [1.2289361708127877]
  CARSOは、防御のために考案された適応的なエンドツーエンドのホワイトボックス攻撃から自身を守ることができる。 提案手法はCIFAR-10, CIFAR-100, TinyImageNet-200の最先端技術により改善されている。
  論文  参考訳（メタデータ） (2023-05-25T09:04:31Z)
• Adversarially Robust Classification by Conditional Generative Model Inversion [4.913248451323163]
  本稿では,攻撃の事前知識を仮定することなく,勾配を難読化せず,構造的に堅牢な分類モデルを提案する。 提案手法は,未成熟な自然画像に基づいて訓練された条件生成器を「反転」する最適化問題である。 我々のモデルはブラックボックス攻撃に対して非常に堅牢であり、ホワイトボックス攻撃に対するロバスト性を改善したことを実証する。
  論文  参考訳（メタデータ） (2022-01-12T23:11:16Z)
• Stochastic Variance Reduced Ensemble Adversarial Attack for Boosting the Adversarial Transferability [20.255708227671573]
  ブラックボックスの敵攻撃は、あるモデルから別のモデルに転送することができる。 本研究では,分散縮小アンサンブル攻撃と呼ばれる新しいアンサンブル攻撃法を提案する。 実験結果から,提案手法は既存のアンサンブル攻撃を著しく上回り,対向移動性を向上する可能性が示唆された。
  論文  参考訳（メタデータ） (2021-11-21T06:33:27Z)
• Meta Gradient Adversarial Attack [64.5070788261061]
  本稿では,MGAA(Metaversa Gradient Adrial Attack)と呼ばれる新しいアーキテクチャを提案する。 具体的には、モデル動物園から複数のモデルをランダムにサンプリングし、異なるタスクを構成するとともに、各タスクにおけるホワイトボックス攻撃とブラックボックス攻撃を反復的にシミュレートする。 ブラックボックス攻撃における勾配方向とブラックボックス攻撃の差を狭めることにより、ブラックボックス設定における逆例の転送性を向上させることができる。
  論文  参考訳（メタデータ） (2021-08-09T17:44:19Z)
• Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
  CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。 任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。 本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
  論文  参考訳（メタデータ） (2021-05-31T17:01:05Z)
• Adversarial Robustness by Design through Analog Computing and Synthetic Gradients [80.60080084042666]
  光コプロセッサにインスパイアされた敵攻撃に対する新しい防御機構を提案する。 ホワイトボックス設定では、我々の防御はランダム投影のパラメータを難読化することで機能する。 光学系におけるランダムプロジェクションとバイナライゼーションの組み合わせにより、様々な種類のブラックボックス攻撃に対するロバスト性も向上する。
  論文  参考訳（メタデータ） (2021-01-06T16:15:29Z)
• Orthogonal Deep Models As Defense Against Black-Box Attacks [71.23669614195195]
  攻撃者が標的モデルに類似したモデルを用いて攻撃を発生させるブラックボックス設定における深層モデル固有の弱点について検討する。 本稿では,深部モデルの内部表現を他のモデルに直交させる新しい勾配正規化手法を提案する。 様々な大規模モデルにおいて,本手法の有効性を検証する。
  論文  参考訳（メタデータ） (2020-06-26T08:29:05Z)
• Towards Query-Efficient Black-Box Adversary with Zeroth-Order Natural Gradient Descent [92.4348499398224]
  ブラックボックスの敵攻撃手法は、実用性や単純さから特に注目されている。 敵攻撃を設計するためのゼロ階自然勾配降下法(ZO-NGD)を提案する。 ZO-NGDは、最先端攻撃法と比較して、モデルクエリの複雑さが大幅に低い。
  論文  参考訳（メタデータ） (2020-02-18T21:48:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。