論文の概要: Unlocking The Potential of Adaptive Attacks on Diffusion-Based Purification

• arxiv url: http://arxiv.org/abs/2411.16598v1
• Date: Mon, 25 Nov 2024 17:30:32 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-26 14:24:22.203945
• Title: Unlocking The Potential of Adaptive Attacks on Diffusion-Based Purification
• Title（参考訳）: 拡散処理による浄化における適応的攻撃の可能性
• Authors: Andre Kassis, Urs Hengartner, Yaoliang Yu,
• Abstract要約: Diffusion-based purification (DBP)は、敵対的事例(AE)に対する防御である 我々は、この主張を再考し、防衛を通じて損失勾配を後退させる勾配に基づく戦略に焦点をあてる。 このような最適化手法はDBPのコア基盤を無効にし、その代わりに悪意のあるサンプル上の分布に精製された出力を制限する。
• 参考スコア（独自算出の注目度）: 20.15955997832192
• License:
• Abstract: Diffusion-based purification (DBP) is a defense against adversarial examples (AEs), amassing popularity for its ability to protect classifiers in an attack-oblivious manner and resistance to strong adversaries with access to the defense. Its robustness has been claimed to ensue from the reliance on diffusion models (DMs) that project the AEs onto the natural distribution. We revisit this claim, focusing on gradient-based strategies that back-propagate the loss gradients through the defense, commonly referred to as ``adaptive attacks". Analytically, we show that such an optimization method invalidates DBP's core foundations, effectively targeting the DM rather than the classifier and restricting the purified outputs to a distribution over malicious samples instead. Thus, we reassess the reported empirical robustness, uncovering implementation flaws in the gradient back-propagation techniques used thus far for DBP. We fix these issues, providing the first reliable gradient library for DBP and demonstrating how adaptive attacks drastically degrade its robustness. We then study a less efficient yet stricter majority-vote setting where the classifier evaluates multiple purified copies of the input to make its decision. Here, DBP's stochasticity enables it to remain partially robust against traditional norm-bounded AEs. We propose a novel adaptation of a recent optimization method against deepfake watermarking that crafts systemic malicious perturbations while ensuring imperceptibility. When integrated with the adaptive attack, it completely defeats DBP, even in the majority-vote setup. Our findings prove that DBP, in its current state, is not a viable defense against AEs.
• Abstract（参考訳）: 拡散ベースの浄化(DBP)は、敵の例(AE)に対する防御であり、攻撃的な方法で分類器を保護できることと、防御にアクセス可能な強力な敵に対する抵抗で人気を博している。 その堅牢性は、AEsを自然分布に投影する拡散モデル(DM)に依存していると主張されている。 我々はこの主張を再考し、「適応的攻撃」と呼ばれる防衛を通じて損失勾配をバックプロパレートする勾配に基づく戦略に焦点を当てた。 解析的に、このような最適化手法はDBPのコア基盤を無効にし、分類器ではなくDMを効果的にターゲットとし、代わりに悪意のあるサンプル上の分布に精製された出力を制限する。 そこで本稿では,DBP にこれまで使用されてきた勾配バックプロパゲーション技術の実装上の欠陥を明らかにすることで,経験的ロバスト性を再評価する。 これらの問題を解消し、DBPの最初の信頼性の高い勾配ライブラリを提供し、アダプティブアタックがロバスト性を大幅に低下させることを示す。 次に、より効率が悪く、より厳密な多数投票方式について検討し、分類器は入力の複数の精製されたコピーを評価し、その決定を行う。 ここで、DBPの確率性は、従来のノルム有界AEに対して部分的に頑健である。 そこで本研究では,近年のディープフェイク透かしに対する最適化手法の新たな適用法を提案する。 アダプティブアタックと統合すると、多数決のセットアップでもDBPを完全に打ち負かす。 以上の結果から,DBPはAEに対して有効ではないことが示唆された。

関連論文リスト

• ADBM: Adversarial diffusion bridge model for reliable adversarial purification [21.2538921336578]
  近年,拡散型浄化法(DiffPure)は,敵の事例に対する効果的な防御法として認識されている。 DiffPureは, 元の事前学習拡散モデルを用いて, 逆流浄化を最適に行う。 本稿では,ADBMと呼ばれる新しいAdrialversa Diffusion Bridge Modelを提案する。
  論文  参考訳（メタデータ） (2024-08-01T06:26:05Z)
• Towards Understanding the Robustness of Diffusion-Based Purification: A Stochastic Perspective [65.10019978876863]
  拡散性浄化(DBP)は、敵の攻撃に対する効果的な防御機構として出現している。 本稿では、DBPプロセスの本質が、その堅牢性の主要な要因であると主張している。
  論文  参考訳（メタデータ） (2024-04-22T16:10:38Z)
• DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial Purification [63.65630243675792]
  拡散に基づく浄化防御は拡散モデルを利用して、敵の例の人工摂動を除去する。 近年の研究では、先進的な攻撃でさえ、そのような防御を効果的に破壊できないことが示されている。 拡散型浄化防衛を効果的かつ効率的に行うための統合フレームワークDiffAttackを提案する。
  論文  参考訳（メタデータ） (2023-10-27T15:17:50Z)
• Confidence-driven Sampling for Backdoor Attacks [49.72680157684523]
  バックドア攻撃は、悪質なトリガをDNNモデルに過剰に挿入することを目的としており、テストシナリオ中に不正な制御を許可している。 既存の方法では防衛戦略に対する堅牢性が欠如しており、主に無作為な試薬を無作為に選別しながら、引き金の盗難を強化することに重点を置いている。 信頼性スコアの低いサンプルを選別し、これらの攻撃を識別・対処する上で、守備側の課題を著しく増大させる。
  論文  参考訳（メタデータ） (2023-10-08T18:57:36Z)
• LEAT: Towards Robust Deepfake Disruption in Real-World Scenarios via Latent Ensemble Attack [11.764601181046496]
  生成モデルによって作成された悪意のある視覚コンテンツであるディープフェイクは、社会にますます有害な脅威をもたらす。 近年のディープフェイクの損傷を積極的に軽減するために, 逆方向の摂動を用いてディープフェイクモデルの出力を妨害する研究が進められている。 そこで本研究では,Latent Ensemble ATtack (LEAT) と呼ばれる簡易かつ効果的なディスラプション手法を提案する。
  論文  参考訳（メタデータ） (2023-07-04T07:00:37Z)
• Improved Certified Defenses against Data Poisoning with (Deterministic) Finite Aggregation [122.83280749890078]
  本報告では, 一般中毒に対する予防的対策として, フィニット・アグリゲーション(Finite Aggregation)を提案する。 トレーニングセットを直接非結合部分集合に分割するDPAとは対照的に、我々の方法はまず、トレーニングセットをより小さな非結合部分集合に分割する。 我々は、決定論的および集約的認証された防御設計をブリッジして、我々の方法の代替的な見解を提供する。
  論文  参考訳（メタデータ） (2022-02-05T20:08:58Z)
• Scale-Invariant Adversarial Attack for Evaluating and Enhancing Adversarial Defenses [22.531976474053057]
  プロジェクテッド・グラディエント・Descent (PGD) 攻撃は最も成功した敵攻撃の1つであることが示されている。 我々は, 対向層の特徴とソフトマックス層の重みの角度を利用して, 対向層の生成を誘導するスケール不変逆襲 (SI-PGD) を提案する。
  論文  参考訳（メタデータ） (2022-01-29T08:40:53Z)
• Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
  CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。 任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。 本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
  論文  参考訳（メタデータ） (2021-05-31T17:01:05Z)
• A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
  敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。 本稿では,入力空間における自己教師型対向学習機構を提案する。 これは、反逆攻撃に対する強力な堅牢性を提供する。
  論文  参考訳（メタデータ） (2020-06-08T20:42:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。