論文の概要: SuperPure: Efficient Purification of Localized and Distributed Adversarial Patches via Super-Resolution GAN Models
- arxiv url: http://arxiv.org/abs/2505.16318v1
- Date: Thu, 22 May 2025 07:21:04 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-23 17:12:48.112852
- Title: SuperPure: Efficient Purification of Localized and Distributed Adversarial Patches via Super-Resolution GAN Models
- Title(参考訳): 超純度:超解像GANモデルによる局所および分散対向パッチの効率的な浄化
- Authors: Hossein Khalili, Seongbin Park, Venkat Bollapragada, Nader Sehatbakhsh,
- Abstract要約: 本稿では,SuperPureと呼ばれる敵パッチ攻撃に対する新たな防御戦略を提案する。
マスクは、GANベースの超解像度スキームを活用して、敵のパッチから画像を徐々に浄化する。
評価の結果,SuperPureは最先端の3つの方向を推し進めている。
- 参考スコア(独自算出の注目度): 0.5906031288935515
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: As vision-based machine learning models are increasingly integrated into autonomous and cyber-physical systems, concerns about (physical) adversarial patch attacks are growing. While state-of-the-art defenses can achieve certified robustness with minimal impact on utility against highly-concentrated localized patch attacks, they fall short in two important areas: (i) State-of-the-art methods are vulnerable to low-noise distributed patches where perturbations are subtly dispersed to evade detection or masking, as shown recently by the DorPatch attack; (ii) Achieving high robustness with state-of-the-art methods is extremely time and resource-consuming, rendering them impractical for latency-sensitive applications in many cyber-physical systems. To address both robustness and latency issues, this paper proposes a new defense strategy for adversarial patch attacks called SuperPure. The key novelty is developing a pixel-wise masking scheme that is robust against both distributed and localized patches. The masking involves leveraging a GAN-based super-resolution scheme to gradually purify the image from adversarial patches. Our extensive evaluations using ImageNet and two standard classifiers, ResNet and EfficientNet, show that SuperPure advances the state-of-the-art in three major directions: (i) it improves the robustness against conventional localized patches by more than 20%, on average, while also improving top-1 clean accuracy by almost 10%; (ii) It achieves 58% robustness against distributed patch attacks (as opposed to 0% in state-of-the-art method, PatchCleanser); (iii) It decreases the defense end-to-end latency by over 98% compared to PatchCleanser. Our further analysis shows that SuperPure is robust against white-box attacks and different patch sizes. Our code is open-source.
- Abstract(参考訳): ビジョンベースの機械学習モデルは、自律的およびサイバー物理システムに統合されつつあるため、(物理的)敵のパッチ攻撃に対する懸念が高まっている。
最先端の防衛は、高度に集中した局所的なパッチ攻撃に対するユーティリティへの影響を最小限に抑えて、認証された堅牢性を達成することができるが、これらは2つの重要な領域で不足している。
(i)最近のDorPatch攻撃で示されるように、回避やマスキングのために摂動が微妙に分散されている低ノイズ分散パッチに対して、最先端の手法は脆弱である。
(II)最先端の手法で高い堅牢性を達成することは、非常に時間とリソースを消費し、多くのサイバー物理システムにおいて遅延に敏感なアプリケーションには実用的でない。
堅牢性とレイテンシの両問題に対処するため,SuperPureと呼ばれる敵パッチ攻撃に対する新たな防御戦略を提案する。
重要なノベルティは、分散パッチとローカライズパッチの両方に対して堅牢なピクセルワイズマスキングスキームを開発することである。
マスクは、GANベースの超解像度スキームを活用して、敵のパッチから画像を徐々に浄化する。
ImageNetと2つの標準分類器であるResNetとEfficientNetを用いた広範囲な評価は、SuperPureが3つの主要な方向で最先端を推し進めていることを示している。
(i)従来の局所パッチに対するロバスト性を平均20%以上改善するとともに、トップ1クリーン精度を約10%向上させる。
(ii)分散パッチ攻撃に対して58%の堅牢性を達成する(最先端メソッドであるPatchCleanserの0%とは対照的に)。
(iii)PatchCleanserと比較して、防御的なエンドツーエンドのレイテンシを98%以上削減する。
さらに分析したところ、SuperPureはホワイトボックス攻撃と異なるパッチサイズに対して堅牢であることがわかった。
私たちのコードはオープンソースです。
関連論文リスト
- DiffPAD: Denoising Diffusion-based Adversarial Patch Decontamination [5.7254228484416325]
DiffPADは、拡散モデルのパワーを利用した新しいフレームワークである。
我々は,DiffPADがパッチ攻撃に対する最先端の敵対的堅牢性を達成し,パッチ残余を伴わない自然像の回復に優れることを示す。
論文 参考訳(メタデータ) (2024-10-31T15:09:36Z) - Anomaly Unveiled: Securing Image Classification against Adversarial
Patch Attacks [3.6275442368775512]
敵対的パッチ攻撃は、ディープラーニングシステムの実践的な展開に重大な脅威をもたらす。
本稿では,画像情報の分布における逆パッチの異常としての挙動について検討する。
提案する防御機構は,DBSCANと呼ばれるクラスタリング技術を用いて,異常な画像セグメントを分離する。
論文 参考訳(メタデータ) (2024-02-09T08:52:47Z) - RADAP: A Robust and Adaptive Defense Against Diverse Adversarial Patches
on Face Recognition [13.618387142029663]
ディープラーニングを利用した顔認識システムは、敵の攻撃に対して脆弱である。
多様な敵パッチに対する堅牢かつ適応的な防御機構であるRADAPを提案する。
RADAPの有効性を検証するための総合的な実験を行った。
論文 参考訳(メタデータ) (2023-11-29T03:37:14Z) - PatchCURE: Improving Certifiable Robustness, Model Utility, and Computation Efficiency of Adversarial Patch Defenses [46.098482151215556]
敵パッチ攻撃に対する最先端の防御は、モデルユーティリティの限界低下によって、強力な証明可能な堅牢性を達成することができる。
この印象的なパフォーマンスは、通常、未定義のモデルに比べて10~100倍の推論時間計算コストがかかる。
本稿では,このトレードオフ問題に対処するためのPatchCUREという防衛フレームワークを提案する。
論文 参考訳(メタデータ) (2023-10-19T18:14:33Z) - Defensive Patches for Robust Recognition in the Physical World [111.46724655123813]
データエンドディフェンスは、モデルを変更する代わりに入力データの操作によって堅牢性を改善する。
従来のデータエンドディフェンスは、様々なノイズに対する低一般化と、複数のモデル間での弱い転送可能性を示している。
モデルがこれらの機能をよりよく活用することを支援することにより、これらの問題に対処するための防御パッチ生成フレームワークを提案する。
論文 参考訳(メタデータ) (2022-04-13T07:34:51Z) - Segment and Complete: Defending Object Detectors against Adversarial
Patch Attacks with Robust Patch Detection [142.24869736769432]
敵のパッチ攻撃は最先端の物体検出器に深刻な脅威をもたらす。
パッチ攻撃に対して物体検出器を防御するフレームワークであるSegment and Complete Defense (SAC)を提案する。
SACは、物理的パッチ攻撃の標的攻撃成功率を著しく低減できることを示す。
論文 参考訳(メタデータ) (2021-12-08T19:18:48Z) - A Self-supervised Approach for Adversarial Robustness [105.88250594033053]
敵対的な例は、ディープニューラルネットワーク(DNN)ベースの視覚システムにおいて破滅的な誤りを引き起こす可能性がある。
本稿では,入力空間における自己教師型対向学習機構を提案する。
これは、反逆攻撃に対する強力な堅牢性を提供する。
論文 参考訳(メタデータ) (2020-06-08T20:42:39Z) - PatchGuard: A Provably Robust Defense against Adversarial Patches via
Small Receptive Fields and Masking [46.03749650789915]
画像の制限領域内の画素を任意に修正することで、機械学習モデルの誤分類を誘発することを目的としている。
そこで我々はPatchGuardという汎用防衛フレームワークを提案する。このフレームワークは、局所的な敵パッチに対して高い清潔さを維持しつつ、高い堅牢性を達成できる。
論文 参考訳(メタデータ) (2020-05-17T03:38:34Z) - (De)Randomized Smoothing for Certifiable Defense against Patch Attacks [136.79415677706612]
我々は、所定の画像とパッチ攻撃サイズを保証する、パッチ攻撃に対する認証可能な防御を導入する。
本手法はランダム化スムースなロバスト性スキームの幅広いクラスに関係している。
その結果,CIFAR-10およびImageNetに対するパッチ攻撃に対する認証済みの防御技術が確立した。
論文 参考訳(メタデータ) (2020-02-25T08:39:46Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。