要約
タイトル:ロバストUNet Denoiserを用いた認証済みゼロ次元ブラックボックス防御
要約:
– 認証済みの防御手法は、ゼロ次元(ZO)の観点からブラックボックス設定で最近調査されています。
– しかし、これらの手法は、デノイザーの無効な設計により、高次元データセットで高いモデル分散と低性能に苦しんでおり、ZOテクニックの利用に限界があります。
– このため、我々は、モデルクエリだけを用いて攻撃された画像から敵対的な摂動を除去するための認証済みのZO前処理技術を提案します。
– 我々は、高次元データセットでトレーニングされたブラックボックスモデルの堅牢性を確保する堅牢なUNetデノイザー(RDUNet)を提案します。
– 我々は、ブラックボックスモデルにRDUNetを前置することで、新しいブラックボックスデノイズ平滑(DS)防御メカニズム、ZO-RUDSを提案します。
– 我々はさらに、RDUNetに続いてオートエンコーダ(AE)を前置するZO-AE-RUDSを提案します。
– 我々は、4つの分類データセット、CIFAR-10、CIFAR-10、Tiny Imagenet、STL-10、および画像再構築タスクのMNISTデータセットで幅広い実験を行いました。
– 我々の提案した防御法ZO-RUDSとZO-AE-RUDSは、低次元(CIFAR-10)に対してSOTAを$35\%$の大きなマージンで打ち破り、高次元(STL-10)に対しては$20.61\%$と$23.51\%$のマージンで打ち破りました。
要約(オリジナル)
Certified defense methods against adversarial perturbations have been recently investigated in the black-box setting with a zeroth-order (ZO) perspective. However, these methods suffer from high model variance with low performance on high-dimensional datasets due to the ineffective design of the denoiser and are limited in their utilization of ZO techniques. To this end, we propose a certified ZO preprocessing technique for removing adversarial perturbations from the attacked image in the black-box setting using only model queries. We propose a robust UNet denoiser (RDUNet) that ensures the robustness of black-box models trained on high-dimensional datasets. We propose a novel black-box denoised smoothing (DS) defense mechanism, ZO-RUDS, by prepending our RDUNet to the black-box model, ensuring black-box defense. We further propose ZO-AE-RUDS in which RDUNet followed by autoencoder (AE) is prepended to the black-box model. We perform extensive experiments on four classification datasets, CIFAR-10, CIFAR-10, Tiny Imagenet, STL-10, and the MNIST dataset for image reconstruction tasks. Our proposed defense methods ZO-RUDS and ZO-AE-RUDS beat SOTA with a huge margin of $35\%$ and $9\%$, for low dimensional (CIFAR-10) and with a margin of $20.61\%$ and $23.51\%$ for high-dimensional (STL-10) datasets, respectively.
arxiv情報
著者 | Astha Verma,Siddhesh Bangar,A V Subramanyam,Naman Lal,Rajiv Ratn Shah,Shin’ichi Satoh |
発行日 | 2023-04-13 11:57:06+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, OpenAI