Universal Adversarial Defense in Remote Sensing Based on Pre-trained Denoising Diffusion Models

要約

ディープ ニューラル ネットワーク (DNN) は、多くのリモート センシング (RS) アプリケーションで多大な成功を収めています。
しかし、敵対的な摂動の脅威に対する脆弱性を無視すべきではありません。
残念なことに、RS 研究における現在の敵対的防御アプローチは、通常、RS データ間の敵対的摂動についての事前知識が必要なため、パフォーマンスの変動と不必要な再トレーニングのコストに悩まされます。
これらの課題を回避するために、事前にトレーニングされた拡散モデルを使用して共通の DNN を複数の未知の敵対的攻撃から防御する、RS 画像 (UAD-RS) における普遍的な敵対的防御アプローチを提案します。
具体的には、生成拡散モデルはまずさまざまな RS データセットで事前トレーニングされ、さまざまなデータ ドメインでの一般化された表現を学習します。
その後、事前に訓練された拡散モデルの順方向および逆方向のプロセスを使用して、敵対的サンプルから摂動を精製するための普遍的な敵対的精製フレームワークが開発されます。
さらに、適応ノイズ レベル選択 (ANLS) メカニズムは、深い特徴空間でのフレシェ開始距離 (FID) に従って、クリーン サンプルに最も近い最良の精製結果を達成できる拡散モデルの最適なノイズ レベルをキャプチャするために構築されています。
その結果、各データセット上の敵対的サンプルの普遍的な精製に必要な事前トレーニング済みの拡散モデルは 1 つだけです。これにより、各攻撃設定の再トレーニングの労力が大幅に軽減され、敵対的摂動の事前知識がなくても高いパフォーマンスが維持されます。
シーン分類とセマンティック セグメンテーションに関する 4 つの異種 RS データセットの実験により、UAD-RS が、一般的に存在する 7 つの敵対的摂動に対する普遍的な防御機能により、最先端の敵対的浄化アプローチを上回っていることが検証されました。

要約(オリジナル)

Deep neural networks (DNNs) have achieved tremendous success in many remote sensing (RS) applications. However, their vulnerability to the threat of adversarial perturbations should not be neglected. Unfortunately, current adversarial defense approaches in RS studies usually suffer from performance fluctuation and unnecessary re-training costs due to the need for prior knowledge of the adversarial perturbations among RS data. To circumvent these challenges, we propose a universal adversarial defense approach in RS imagery (UAD-RS) using pre-trained diffusion models to defend the common DNNs against multiple unknown adversarial attacks. Specifically, the generative diffusion models are first pre-trained on different RS datasets to learn generalized representations in various data domains. After that, a universal adversarial purification framework is developed using the forward and reverse process of the pre-trained diffusion models to purify the perturbations from adversarial samples. Furthermore, an adaptive noise level selection (ANLS) mechanism is built to capture the optimal noise level of the diffusion model that can achieve the best purification results closest to the clean samples according to their Frechet Inception Distance (FID) in deep feature space. As a result, only a single pre-trained diffusion model is needed for the universal purification of adversarial samples on each dataset, which significantly alleviates the re-training efforts for each attack setting and maintains high performance without the prior knowledge of adversarial perturbations. Experiments on four heterogeneous RS datasets regarding scene classification and semantic segmentation verify that UAD-RS outperforms state-of-the-art adversarial purification approaches with a universal defense against seven commonly existing adversarial perturbations.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google