Image Shortcut Squeezing: Countering Perturbative Availability Poisons with Compression

要約

Perturbative Availability Poisoning (PAP) は、画像に小さな変更を加えて、モデルのトレーニングに使用できないようにします。
現在の研究では、そのような毒物に対抗するための実用的かつ効果的なアプローチは存在しないという信念が採用されています.
この論文では、この信念を放棄する時が来たと主張します。
12 の最先端の PAP メソッドが、単純な圧縮に基づくイメージ ショートカット スクイーズ (ISS) に対して脆弱であることを示す広範な実験を提示します。
たとえば、平均して、ISS は CIFAR-10 モデルの精度を $81.73\%$ に復元し、以前の最高の前処理ベースの対策を絶対 $37.97\%$ 上回っています。
また、ISS は敵対的トレーニングよりも (わずかに) 優れており、目に見えない摂動規範に対する一般化可能性が高く、効率も高くなります。
私たちの調査により、PAP 摂動の特性はポイズン生成に使用される代理モデルのタイプに依存することが明らかになり、特定のタイプの PAP 摂動に対して特定の ISS 圧縮が最高のパフォーマンスをもたらす理由が説明されます。
より強力な適応中毒をさらにテストし、ISS に対する理想的な防御には及ばないことを示しています。
全体として、私たちの結果は、アベイラビリティポイズンの開発中に実行される分析の意味を確保するために、さまざまな (単純な) 対策を検討することの重要性を示しています。

要約(オリジナル)

Perturbative availability poisoning (PAP) adds small changes to images to prevent their use for model training. Current research adopts the belief that practical and effective approaches to countering such poisons do not exist. In this paper, we argue that it is time to abandon this belief. We present extensive experiments showing that 12 state-of-the-art PAP methods are vulnerable to Image Shortcut Squeezing (ISS), which is based on simple compression. For example, on average, ISS restores the CIFAR-10 model accuracy to $81.73\%$, surpassing the previous best preprocessing-based countermeasures by $37.97\%$ absolute. ISS also (slightly) outperforms adversarial training and has higher generalizability to unseen perturbation norms and also higher efficiency. Our investigation reveals that the property of PAP perturbations depends on the type of surrogate model used for poison generation, and it explains why a specific ISS compression yields the best performance for a specific type of PAP perturbation. We further test stronger, adaptive poisoning, and show it falls short of being an ideal defense against ISS. Overall, our results demonstrate the importance of considering various (simple) countermeasures to ensure the meaningfulness of analysis carried out during the development of availability poisons.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google