[論文レビュー] (De)Randomized Smoothing for Certifiable Defense against Patch Attacks
本論文は、ブロックとバンドスムージングを用いたパッチ攻撃に対するデエリャライズド構造的アブレーション防御を提案し、画像に対して厳密で証明可能な頑健性を提供し、CIFAR-10 から ImageNet までスケール可能である。
Patch adversarial attacks on images, in which the attacker can distort pixels within a region of bounded size, are an important threat model since they provide a quantitative model for physical adversarial attacks. In this paper, we introduce a certifiable defense against patch attacks that guarantees for a given image and patch attack size, no patch adversarial examples exist. Our method is related to the broad class of randomized smoothing robustness schemes which provide high-confidence probabilistic robustness certificates. By exploiting the fact that patch attacks are more constrained than general sparse attacks, we derive meaningfully large robustness certificates against them. Additionally, in contrast to smoothing-based defenses against L_p and sparse attacks, our defense method against patch attacks is de-randomized, yielding improved, deterministic certificates. Compared to the existing patch certification method proposed by Chiang et al. (2020), which relies on interval bound propagation, our method can be trained significantly faster, achieves high clean and certified robust accuracy on CIFAR-10, and provides certificates at ImageNet scale. For example, for a 5-by-5 patch attack on CIFAR-10, our method achieves up to around 57.6% certified accuracy (with a classifier with around 83.8% clean accuracy), compared to at most 30.3% certified accuracy for the existing method (with a classifier with around 47.8% clean accuracy). Our results effectively establish a new state-of-the-art of certifiable defense against patch attacks on CIFAR-10 and ImageNet. Code is available at https://github.com/alevine0/patchSmoothing.
研究の動機と目的
- 物理攻撃をモデル化するパッチ攻撃に対する堅牢な防御を動機づける。
- パッチ攻撃の構造的性質を活用して保護を改善する証明可能な防御法を開発する。
- 厳密な頑健性証明書を生み出すブロック/バンドアブレーションを用いたデエリャライズドスムージング手法を提案する。
- 方法は大規模データセット(CIFAR-10, ImageNet)へスケールし、優れた認定精度を示す。
- prior interval-bound propagation methods と比較し、訓練を速く、性能を向上させることを示す。
提案手法
- ブロックスムージングとバンスムージングという、相関したピクセル群を保持してパッチの重なり確率を最小化する2つの構造的アブレーション方を提案する。
- アブレートされた入力を用いたベース分類器を使用し、保持されるすべてのブロック/バンドを横断して投票をカウントし、各クラスについて n_c(x) を形成する。
- サンプリングに基づく推定ではなく、クラス確率の厳密計算によって決定論的な頑健性証明書を提供する。
- ベース分類器の不確実性時に黙示またはマルチクラス投票を許す閾値(θ)を利用する。
- 従来の L0 ランダム化スムージングをデエリャライズして、確率的ではなく厳密な証明書を得る。
- データセットを跨いで、Column Smoothing(バンド/列) が最も強力な証明書を生み出すことを実証的に決定する。
実験結果
リサーチクエスチョン
- RQ1構造化アブレーション(ブロック/バンド)は、素朴なスパースアブレーションよりも、保持ピクセルとパッチ攻撃が交差する確率を効果的に低減できるか。
- RQ2デエリャライズドで構造化されたスムージング手法は、CIFAR-10 および ImageNet 規模のタスクで厳密な頑健性証明書を提供し、認定精度を改善するか。
- RQ3ブロック対バンドのスムージングは、異なるパッチサイズで認定精度とクリーン精度の点でどう比較されるか。
- RQ4ImageNet のような大規模データセットへのスケーリングは、競争力のある認定頑健性を維持しつつ可能か。
- RQ5 prior interval-bound propagation 方法よりも、実務的な訓練時間と実装上の利点は何か。
主な発見
| Dataset and Attack Size | Chiang et al. [9] | Our method |
|---|---|---|
| MNIST 5×5 | 60.4% (92.0%) | 52.44% (96.54%) |
| CIFAR 5×5 | 30.3% (47.8%) | 57.58% (83.82%) |
| ImageNet 42×42 | N/A | 13.9% (44.6%) |
- Column smoothing(帯/列ベースのアブレーション)は、MNIST と CIFAR-10 で常にブロックスムージングより高い認定精度をもたらす。
- CIFAR-10 の 5x5 パッチでは、方法は 57.58% の認定精度で 83.82% のクリーン精度を達成、Chiang et al. (2020) の 30.3% 認定 / 47.8% クリーンに対して。
- MNIST では、方法は 52.44% の認定精度で 96.54% のクリーン精度を達成。
- ImageNet(42x42 パッチ)では、方法は 13.9% の認定精度で 44.6% のクリーン精度を達成。
- Derandomized(構造化)スムージングは CIFAR-10 での認定をランダム化された相手より最大約7ポイント改善。
- このアプローチは ImageNet へスケールし、パッチ攻撃に対する従来の認定防御より訓練が高速。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。