[论文解读] Efficient Certified Defenses Against Patch Attacks on Image Classifiers
BagCert 提出了一种高效、端到端的认证防御方法,用于对抗性贴片攻击,采用感受野较小的卷积神经网络(CNN)和基于边距的损失函数以增强鲁棒性。该方法在 CIFAR-10 上对 5×5 贴片实现了 86% 的干净准确率和 60% 的认证准确率,仅用单张 GPU 在 43 秒内完成了对 10,000 张测试图像的认证。
Adversarial patches pose a realistic threat model for physical world attacks on autonomous systems via their perception component. Autonomous systems in safety-critical domains such as automated driving should thus contain a fail-safe fallback component that combines certifiable robustness against patches with efficient inference while maintaining high performance on clean inputs. We propose BagCert, a novel combination of model architecture and certification procedure that allows efficient certification. We derive a loss that enables end-to-end optimization of certified robustness against patches of different sizes and locations. On CIFAR10, BagCert certifies 10.000 examples in 43 seconds on a single GPU and obtains 86% clean and 60% certified accuracy against 5x5 patches.
研究动机与目标
- 解决自动驾驶等安全关键系统中对抗性贴片攻击的可认证鲁棒性需求。
- 克服现有认证防御方法在认证准确率低、干净准确率差或推理成本高的局限性。
- 实现端到端训练,直接优化认证鲁棒性,无需事后校准。
- 通过小感受野实现高效推理,仅需一次前向传播,避免昂贵的集成或多次前向传播。
提出的方法
- 提出三种认证条件,其中改进的变体相较于先前工作将认证准确率提升了约 3 个百分点。
- 推导出一种基于边距的损失函数,直接优化对均匀分布的贴片尺寸、位置和长宽比的认证鲁棒性。
- 设计一种感受野极小的模型架构(例如 5×5 到 13×13),通过单次前向传播实现高效推理。
- 通过小区域局部预测结果的多数投票机制进行图像分类,类似于 BagNets 和 PatchGuard,但实现完全端到端训练。
- 将认证条件应用于验证威胁模型内所有可能的贴片位置和尺寸下的鲁棒性。
- 将损失函数整合到训练过程中,确保模型不仅在干净准确率上优化,也在认证鲁棒性上进行优化。
实验结果
研究问题
- RQ1能否通过端到端训练实现高认证准确率和干净准确率,同时保持对贴片攻击的高效推理?
- RQ2改进的认证条件是否在不牺牲广泛适用性的前提下,优于现有条件的认证准确率?
- RQ3单个感受野较小的模型能否在不重新训练的情况下,对多种贴片尺寸、长宽比和位置保持鲁棒性?
- RQ4与 Derandomized Smoothing 或 IBP 等现有认证防御方法相比,所提方法的推理效率如何?
- RQ5该模型在不同贴片形状和尺寸(包括非正方形贴片)下的性能泛化能力如何?
主要发现
- BagCert 在 CIFAR-10 上对 5×5 对抗性贴片实现了 86% 的干净准确率和 60% 的认证准确率,显著优于先前的认证防御方法。
- 该模型仅用单张 Tesla V100 GPU 在 43.2 秒内完成对全部 10,000 张 CIFAR-10 测试图像的认证,远超 Derandomized Smoothing(788 秒)和其他基线方法。
- 使用条件 3.2 进行认证可将认证准确率提高约 3 个百分点,且不增加推理时间或降低干净准确率。
- BagCert 在所有 24 像素非正方形贴片的长宽比下均保持高认证准确率(≥40%),而使用列平滑的 Derandomized Smoothing 在短而宽的贴片上失效。
- 在 ImageNet 上,BagCert 对 17×17 感受野的认证准确率为 18.9%(通过条件 3.3)和 22.9%(通过条件 3.2),证明了其在更大数据集上的可扩展性。
- 采用 7×7 感受野和边距 M=0.5 的模型在所有测试的贴片尺寸(最大至 10×10)下均达到接近最优性能,表明单一配置即可实现广泛鲁棒性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。