論文の概要: Unlocking The Potential of Adaptive Attacks on Diffusion-Based Purification
- arxiv url: http://arxiv.org/abs/2411.16598v1
- Date: Mon, 25 Nov 2024 17:30:32 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-26 14:24:22.203945
- Title: Unlocking The Potential of Adaptive Attacks on Diffusion-Based Purification
- Title(参考訳): 拡散処理による浄化における適応的攻撃の可能性
- Authors: Andre Kassis, Urs Hengartner, Yaoliang Yu,
- Abstract要約: Diffusion-based purification (DBP)は、敵対的事例(AE)に対する防御である
我々は、この主張を再考し、防衛を通じて損失勾配を後退させる勾配に基づく戦略に焦点をあてる。
このような最適化手法はDBPのコア基盤を無効にし、その代わりに悪意のあるサンプル上の分布に精製された出力を制限する。
- 参考スコア(独自算出の注目度): 20.15955997832192
- License:
- Abstract: Diffusion-based purification (DBP) is a defense against adversarial examples (AEs), amassing popularity for its ability to protect classifiers in an attack-oblivious manner and resistance to strong adversaries with access to the defense. Its robustness has been claimed to ensue from the reliance on diffusion models (DMs) that project the AEs onto the natural distribution. We revisit this claim, focusing on gradient-based strategies that back-propagate the loss gradients through the defense, commonly referred to as ``adaptive attacks". Analytically, we show that such an optimization method invalidates DBP's core foundations, effectively targeting the DM rather than the classifier and restricting the purified outputs to a distribution over malicious samples instead. Thus, we reassess the reported empirical robustness, uncovering implementation flaws in the gradient back-propagation techniques used thus far for DBP. We fix these issues, providing the first reliable gradient library for DBP and demonstrating how adaptive attacks drastically degrade its robustness. We then study a less efficient yet stricter majority-vote setting where the classifier evaluates multiple purified copies of the input to make its decision. Here, DBP's stochasticity enables it to remain partially robust against traditional norm-bounded AEs. We propose a novel adaptation of a recent optimization method against deepfake watermarking that crafts systemic malicious perturbations while ensuring imperceptibility. When integrated with the adaptive attack, it completely defeats DBP, even in the majority-vote setup. Our findings prove that DBP, in its current state, is not a viable defense against AEs.
- Abstract(参考訳): 拡散ベースの浄化(DBP)は、敵の例(AE)に対する防御であり、攻撃的な方法で分類器を保護できることと、防御にアクセス可能な強力な敵に対する抵抗で人気を博している。
その堅牢性は、AEsを自然分布に投影する拡散モデル(DM)に依存していると主張されている。
我々はこの主張を再考し、「適応的攻撃」と呼ばれる防衛を通じて損失勾配をバックプロパレートする勾配に基づく戦略に焦点を当てた。
解析的に、このような最適化手法はDBPのコア基盤を無効にし、分類器ではなくDMを効果的にターゲットとし、代わりに悪意のあるサンプル上の分布に精製された出力を制限する。
そこで本稿では,DBP にこれまで使用されてきた勾配バックプロパゲーション技術の実装上の欠陥を明らかにすることで,経験的ロバスト性を再評価する。
これらの問題を解消し、DBPの最初の信頼性の高い勾配ライブラリを提供し、アダプティブアタックがロバスト性を大幅に低下させることを示す。
次に、より効率が悪く、より厳密な多数投票方式について検討し、分類器は入力の複数の精製されたコピーを評価し、その決定を行う。
ここで、DBPの確率性は、従来のノルム有界AEに対して部分的に頑健である。
そこで本研究では,近年のディープフェイク透かしに対する最適化手法の新たな適用法を提案する。
アダプティブアタックと統合すると、多数決のセットアップでもDBPを完全に打ち負かす。
以上の結果から,DBPはAEに対して有効ではないことが示唆された。
関連論文リスト
- Adversarial Purification by Consistency-aware Latent Space Optimization on Data Manifolds [48.37843602248313]
ディープニューラルネットワーク(DNN)は、クリーンデータに知覚不能な摂動を加えることで作られた敵のサンプルに対して脆弱であり、誤った危険な予測につながる可能性がある。
本稿では、事前学習された一貫性モデルの潜在空間内のベクトルを最適化し、クリーンなデータを復元するためのサンプルを生成する、一貫性モデルに基づく適応的パーフィケーション(CMAP)を提案する。
CMAPは、高い自然な精度を維持しながら、強力な敵攻撃に対する堅牢性を著しく向上させる。
論文 参考訳(メタデータ) (2024-12-11T14:14:02Z) - ADBM: Adversarial diffusion bridge model for reliable adversarial purification [21.2538921336578]
近年,拡散型浄化法(DiffPure)は,敵の事例に対する効果的な防御法として認識されている。
DiffPureは, 元の事前学習拡散モデルを用いて, 逆流浄化を最適に行う。
本稿では,ADBMと呼ばれる新しいAdrialversa Diffusion Bridge Modelを提案する。
論文 参考訳(メタデータ) (2024-08-01T06:26:05Z) - Towards Understanding the Robustness of Diffusion-Based Purification: A Stochastic Perspective [65.10019978876863]
拡散性浄化(DBP)は、敵の攻撃に対する効果的な防御機構として出現している。
本稿では、DBPプロセスの本質が、その堅牢性の主要な要因であると主張している。
論文 参考訳(メタデータ) (2024-04-22T16:10:38Z) - Improving Adversarial Transferability by Stable Diffusion [36.97548018603747]
敵対的な例は 良心サンプルに 知覚不能な摂動を導入 予測を欺く
ディープニューラルネットワーク(Deep Neural Network, DNN)は、良性サンプルに知覚不能な摂動を導入し、予測を誤認する敵の例に影響を受けやすい。
本稿では,SDAM(Stable Diffusion Attack Method)と呼ばれる新しい攻撃手法を提案する。
論文 参考訳(メタデータ) (2023-11-18T09:10:07Z) - LEAT: Towards Robust Deepfake Disruption in Real-World Scenarios via
Latent Ensemble Attack [11.764601181046496]
生成モデルによって作成された悪意のある視覚コンテンツであるディープフェイクは、社会にますます有害な脅威をもたらす。
近年のディープフェイクの損傷を積極的に軽減するために, 逆方向の摂動を用いてディープフェイクモデルの出力を妨害する研究が進められている。
そこで本研究では,Latent Ensemble ATtack (LEAT) と呼ばれる簡易かつ効果的なディスラプション手法を提案する。
論文 参考訳(メタデータ) (2023-07-04T07:00:37Z) - Diffusion-Based Adversarial Sample Generation for Improved Stealthiness
and Controllability [62.105715985563656]
そこで本研究では,現実的な対向サンプルを生成するための拡散型射影勾配 Descent (Diff-PGD) という新しいフレームワークを提案する。
我々のフレームワークは、デジタルアタック、物理世界アタック、スタイルベースのアタックなど、特定のタスクに簡単にカスタマイズできる。
論文 参考訳(メタデータ) (2023-05-25T21:51:23Z) - Ada3Diff: Defending against 3D Adversarial Point Clouds via Adaptive
Diffusion [70.60038549155485]
ディープ3Dポイントクラウドモデルは敵攻撃に敏感であり、自律運転のような安全クリティカルなアプリケーションに脅威をもたらす。
本稿では,適応強度推定器と拡散モデルを用いて,プリスタンデータ分布を再構築できる新しい歪み認識型防衛フレームワークを提案する。
論文 参考訳(メタデータ) (2022-11-29T14:32:43Z) - Improved Certified Defenses against Data Poisoning with (Deterministic)
Finite Aggregation [122.83280749890078]
本報告では, 一般中毒に対する予防的対策として, フィニット・アグリゲーション(Finite Aggregation)を提案する。
トレーニングセットを直接非結合部分集合に分割するDPAとは対照的に、我々の方法はまず、トレーニングセットをより小さな非結合部分集合に分割する。
我々は、決定論的および集約的認証された防御設計をブリッジして、我々の方法の代替的な見解を提供する。
論文 参考訳(メタデータ) (2022-02-05T20:08:58Z) - Unlabelled Data Improves Bayesian Uncertainty Calibration under
Covariate Shift [100.52588638477862]
後続正則化に基づく近似ベイズ推定法を開発した。
前立腺癌の予後モデルを世界規模で導入する上で,本手法の有用性を実証する。
論文 参考訳(メタデータ) (2020-06-26T13:50:19Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。