要約
敵対的攻撃に対する防御の多く (堅牢な分類器、ランダム化、画像浄化など) は、攻撃が作成された後にのみ機能する対策を使用します。
異なる視点を採用して、敵対的攻撃に対する初の認定された先制防御を含む新しいフレームワークである $A^5$ (Adversarial Augmentation Against Adversarial Attacks) を紹介します。
主なアイデアは、防御的な摂動を作成して、手元の入力に対するあらゆる攻撃 (指定された規模まで) が失敗することを保証することです。
この目的のために、ニューラル ネットワーク用の既存の自動摂動解析ツールを活用します。
$A^5$ を効果的に適用するための条件を研究し、防御される分類器の堅牢性の重要性を分析し、堅牢化された画像の外観を検査します。
グラウンド トゥルース ラベルを無視するロバストファイア ネットワークを使用した効果的なオンザフライ防御強化を示し、ロバストファイアと分類器の共同トレーニングの利点を示します。
私たちのテストでは、$A^5$ は MNIST、CIFAR10、FashionMNIST、Tinyimagenet の最先端の認定防御を常に破っています。
$A^5$ を適用して、証明された堅牢な物理オブジェクトを作成する方法も示します。
https://github.com/NVlabs/A5 にあるコードでは、ここでテストした中間者攻撃を超えた、物理的な攻撃の場合を含む幅広いシナリオを実験することができます。
要約(オリジナル)
Many defenses against adversarial attacks (\eg robust classifiers, randomization, or image purification) use countermeasures put to work only after the attack has been crafted. We adopt a different perspective to introduce $A^5$ (Adversarial Augmentation Against Adversarial Attacks), a novel framework including the first certified preemptive defense against adversarial attacks. The main idea is to craft a defensive perturbation to guarantee that any attack (up to a given magnitude) towards the input in hand will fail. To this aim, we leverage existing automatic perturbation analysis tools for neural networks. We study the conditions to apply $A^5$ effectively, analyze the importance of the robustness of the to-be-defended classifier, and inspect the appearance of the robustified images. We show effective on-the-fly defensive augmentation with a robustifier network that ignores the ground truth label, and demonstrate the benefits of robustifier and classifier co-training. In our tests, $A^5$ consistently beats state of the art certified defenses on MNIST, CIFAR10, FashionMNIST and Tinyimagenet. We also show how to apply $A^5$ to create certifiably robust physical objects. Our code at https://github.com/NVlabs/A5 allows experimenting on a wide range of scenarios beyond the man-in-the-middle attack tested here, including the case of physical attacks.
arxiv情報
著者 | Iuri Frosio,Jan Kautz |
発行日 | 2023-05-23 16:07:58+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google