Fugu-MT 論文翻訳(概要): Breaking the Limits of Quantization-Aware Defenses: QADT-R for Robustness Against Patch-Based Adversarial Attacks in QNNs

論文の概要: Breaking the Limits of Quantization-Aware Defenses: QADT-R for Robustness Against Patch-Based Adversarial Attacks in QNNs

arxiv url: http://arxiv.org/abs/2503.07058v1
Date: Mon, 10 Mar 2025 08:43:36 GMT
ステータス: 翻訳完了
システム内更新日: 2025-03-11 15:48:00.594949
Title: Breaking the Limits of Quantization-Aware Defenses: QADT-R for Robustness Against Patch-Based Adversarial Attacks in QNNs
Title（参考訳）: 量子化対応防御の限界を打破する:QNNにおけるパッチベースの敵攻撃に対するロバストネスのためのQADT-R
Authors: Amira Guesmi, Bassem Ouni, Muhammad Shafique,
Abstract要約: 量子ニューラルネットワーク(QNN)は、モデルサイズと計算コストを削減するための有望なソリューションとして登場した。本研究は, 量子化モデルにおいて, 逆パッチは高い転送性を有することを示す。本稿では,QADT-R(Quantization-Aware Defense Training with Randomization)を提案する。
参考スコア（独自算出の注目度）: 3.962831477787584
License:
Abstract: Quantized Neural Networks (QNNs) have emerged as a promising solution for reducing model size and computational costs, making them well-suited for deployment in edge and resource-constrained environments. While quantization is known to disrupt gradient propagation and enhance robustness against pixel-level adversarial attacks, its effectiveness against patch-based adversarial attacks remains largely unexplored. In this work, we demonstrate that adversarial patches remain highly transferable across quantized models, achieving over 70\% attack success rates (ASR) even at extreme bit-width reductions (e.g., 2-bit). This challenges the common assumption that quantization inherently mitigates adversarial threats. To address this, we propose Quantization-Aware Defense Training with Randomization (QADT-R), a novel defense strategy that integrates Adaptive Quantization-Aware Patch Generation (A-QAPA), Dynamic Bit-Width Training (DBWT), and Gradient-Inconsistent Regularization (GIR) to enhance resilience against highly transferable patch-based attacks. A-QAPA generates adversarial patches within quantized models, ensuring robustness across different bit-widths. DBWT introduces bit-width cycling during training to prevent overfitting to a specific quantization setting, while GIR injects controlled gradient perturbations to disrupt adversarial optimization. Extensive evaluations on CIFAR-10 and ImageNet show that QADT-R reduces ASR by up to 25\% compared to prior defenses such as PBAT and DWQ. Our findings further reveal that PBAT-trained models, while effective against seen patch configurations, fail to generalize to unseen patches due to quantization shift. Additionally, our empirical analysis of gradient alignment, spatial sensitivity, and patch visibility provides insights into the mechanisms that contribute to the high transferability of patch-based attacks in QNNs.
Abstract（参考訳）: 量子ニューラルネットワーク(QNN)は、モデルサイズと計算コストを削減するための有望なソリューションとして登場し、エッジやリソース制約のある環境へのデプロイに適している。量子化は、勾配の伝播を妨害し、画素レベルの敵攻撃に対する堅牢性を高めることが知られているが、パッチベースの敵攻撃に対する効果は、まだ明らかになっていない。本研究では,超ビット幅削減(eg,2-bit)においても,攻撃成功率(ASR)を70倍以上達成し,量子化モデル間で高い転送性を維持していることを示す。これは量子化が本質的に敵の脅威を緩和するという一般的な仮定に挑戦する。そこで本研究では、適応量子化対応パッチ生成(A-QAPA)、動的ビット幅トレーニング(DBWT)、グラディエント非一貫性正規化(GIR)を統合して、高度に転送可能なパッチベースの攻撃に対するレジリエンスを高める新しい防御戦略であるランダム化付き量子化対応防衛訓練(QADT-R)を提案する。 A-QAPAは量子化されたモデル内の逆パッチを生成し、異なるビット幅にわたって堅牢性を確保する。 DBWTは特定の量子化設定に過度に適合しないようにトレーニング中にビット幅のサイクリングを導入し、GIRは制御された勾配摂動を注入して敵の最適化を妨害する。 CIFAR-10とImageNetの広範囲な評価により、QADT-RはPBATやDWQのような以前の防御よりも最大25倍のASRを減少させることが示された。さらに,PBATをトレーニングしたモデルでは,パッチ構成に対する効果はあるものの,量子化シフトによる未確認パッチへの一般化に失敗することが判明した。さらに, 勾配アライメント, 空間感度, パッチ可視性に関する実証分析により, QNNにおけるパッチベースの攻撃の高い伝達性に寄与するメカニズムについて考察した。

関連論文リスト

Robust and Transferable Backdoor Attacks Against Deep Image Compression With Selective Frequency Prior [118.92747171905727]
本稿では,学習画像の圧縮モデルに複数のトリガを付加したバックドアアタックを起動するための新しい周波数ベースのトリガインジェクションモデルを提案する。 1) 圧縮品質をビットレートと再現精度で劣化させる,2) 顔認識やセマンティックセグメンテーションといったタスク駆動型対策を目標とする,様々なシナリオに適した攻撃目標を設計する。実験の結果, トリガーインジェクションモデルと, エンコーダパラメータの微調整を組み合わせることで, 複数のバックドアとトリガーを1つの圧縮モデルに注入することができた。
論文参考訳（メタデータ） (2024-12-02T15:58:40Z)
Exploring the Robustness and Transferability of Patch-Based Adversarial Attacks in Quantized Neural Networks [3.962831477787584]
量子ニューラルネットワーク(QNN)は、リソース制約のあるプラットフォームへのディープラーニングモデルの効率的なデプロイにますます利用されている。量子化はモデルのサイズと計算要求を減少させるが、その逆の堅牢性への影響は依然として不十分である。局所的で視認性の高い摂動を特徴とするパッチベースの攻撃は、その伝達性とレジリエンスのために重大なセキュリティリスクを生じさせる。
論文参考訳（メタデータ） (2024-11-22T07:05:35Z)
STBA: Towards Evaluating the Robustness of DNNs for Query-Limited Black-box Scenario [50.37501379058119]
本研究では,クエリ制限シナリオにおいて,悪意のある逆の例を作成するために,空間変換ブラックボックス攻撃(STBA)を提案する。そこで本研究では,STBAが対向例の認識不能性を効果的に改善し,クエリ制限条件下での攻撃成功率を大幅に向上できることを示す。
論文参考訳（メタデータ） (2024-03-30T13:28:53Z)
Guidance Through Surrogate: Towards a Generic Diagnostic Attack [101.36906370355435]
我々は、攻撃最適化中に局所最小限を避けるための誘導機構を開発し、G-PGAと呼ばれる新たな攻撃に繋がる。修正された攻撃では、ランダムに再起動したり、多数の攻撃を繰り返したり、最適なステップサイズを検索したりする必要がありません。効果的な攻撃以上に、G-PGAは敵防御における勾配マスキングによる解離性堅牢性を明らかにするための診断ツールとして用いられる。
論文参考訳（メタデータ） (2022-12-30T18:45:23Z)
Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
論文参考訳（メタデータ） (2021-05-31T17:01:05Z)
Towards Adversarial Patch Analysis and Certified Defense against Crowd Counting [61.99564267735242]
安全クリティカルな監視システムの重要性から、群衆のカウントは多くの注目を集めています。近年の研究では、ディープニューラルネットワーク(DNN)の手法が敵の攻撃に弱いことが示されている。群衆カウントモデルのロバスト性を評価するために,Momentumを用いた攻撃戦略としてAdversarial Patch Attackを提案する。
論文参考訳（メタデータ） (2021-04-22T05:10:55Z)
Rethinking Uncertainty in Deep Learning: Whether and How it Improves Robustness [20.912492996647888]
対人訓練(AT)は、クリーンな例と他の種類の攻撃の両方において、パフォーマンスの低下に悩まされる。エントロピー(EntM)やラベルスムーシング(LS)のような不確実な出力を促進する正規化器は、クリーンな例で精度を維持し、弱い攻撃下での性能を向上させることができる。本稿では,逆学習分野において,EntMやLSを含む不確実性向上レギュレータを再検討する。
論文参考訳（メタデータ） (2020-11-27T03:22:50Z)
A Data Augmentation-based Defense Method Against Adversarial Attacks in Neural Networks [7.943024117353317]
そこで本研究では,実生活制約に適合した完全ホワイトボックス攻撃を効果的に無効化する軽量防衛手法を開発した。我々のモデルは、50発のBPDAによる高度な適応攻撃に耐えることができ、攻撃成功率をほぼゼロに抑えながら、目標モデルが約80%の精度を維持するのに役立ちます。
論文参考訳（メタデータ） (2020-07-30T08:06:53Z)
A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。本稿では,入力空間における自己教師型対向学習機構を提案する。これは、反逆攻撃に対する強力な堅牢性を提供する。
論文参考訳（メタデータ） (2020-06-08T20:42:39Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。