Assessing Robustness via Score-Based Adversarial Image Generation

要約

ほとんどの敵対的な攻撃と防御は、小さな $\ell_p$-norm 制約内の摂動に焦点を当てています。
ただし、$\ell_p$ 脅威モデルは、関連する意味を保持する摂動をすべて捕捉できるわけではないため、堅牢性評価の範囲は限られています。
この研究では、スコアベースの敵対的生成 (ScoreAG) を紹介します。これは、スコアベースの生成モデルの進歩を利用して、$\ell_p$-norm 制約を超えた敵対的な例、いわゆる無制限の敵対的な例を生成し、その制約を克服する新しいフレームワークです。
制限。
従来の方法とは異なり、ScoreAG は、既存の画像を変換するか、まったく最初から新しい画像を合成することによって、現実的な敵対的な例を生成しながら、画像のコア セマンティクスを維持します。
さらに、ScoreAG の生成機能を活用して画像を精製し、分類器の堅牢性を経験的に強化します。
当社の広範な実証的評価により、ScoreAG が複数のベンチマークにわたって最先端の攻撃と防御のパフォーマンスに匹敵することが実証されています。
この研究は、$\ell_p$-norm 制約ではなく、セマンティクスによって制限された敵対的な例を調査することの重要性を強調しています。
ScoreAG は、より包括的な堅牢性評価に向けた重要なステップとなります。

要約(オリジナル)

Most adversarial attacks and defenses focus on perturbations within small $\ell_p$-norm constraints. However, $\ell_p$ threat models cannot capture all relevant semantic-preserving perturbations, and hence, the scope of robustness evaluations is limited. In this work, we introduce Score-Based Adversarial Generation (ScoreAG), a novel framework that leverages the advancements in score-based generative models to generate adversarial examples beyond $\ell_p$-norm constraints, so-called unrestricted adversarial examples, overcoming their limitations. Unlike traditional methods, ScoreAG maintains the core semantics of images while generating realistic adversarial examples, either by transforming existing images or synthesizing new ones entirely from scratch. We further exploit the generative capability of ScoreAG to purify images, empirically enhancing the robustness of classifiers. Our extensive empirical evaluation demonstrates that ScoreAG matches the performance of state-of-the-art attacks and defenses across multiple benchmarks. This work highlights the importance of investigating adversarial examples bounded by semantics rather than $\ell_p$-norm constraints. ScoreAG represents an important step towards more encompassing robustness assessments.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google