Fight Fire with Fire: Combating Adversarial Patch Attacks using Pattern-randomized Defensive Patches

要約

物体検出はさまざまなタスクに広範に応用されていますが、敵対的なパッチ攻撃の影響も受けやすいです。
既存の防御方法では、多くの場合、ターゲット モデルの変更が必要になったり、許容できない時間のオーバーヘッドが生じたりします。
この論文では、「火には火で対抗する」の原則に従って反撃アプローチを採用し、敵対的な攻撃を防御するための新規かつ一般的な方法論を提案します。
私たちは、カナリアとキツツキの 2 種類の防御パッチを入力に挿入することでアクティブな防御戦略を利用し、ターゲット モデルを変更せずに、潜在的な敵対的なパッチを積極的に調査または弱体化します。
さらに、ソフトウェア セキュリティで採用されているランダム化技術にヒントを得て、ランダム化されたカナリアとキツツキの注入パターンを採用して、防御を意識した攻撃を防御します。
提案した方法の有効性と実用性は、包括的な実験を通じて実証されます。
この結果は、カナリアとキツツキが、限られた時間のオーバーヘッドを負担しながら、未知の攻撃方法に直面した場合でも高いパフォーマンスを達成することを示しています。
さらに、適応型攻撃の実験によって証明されているように、私たちの方法は防御を意識した攻撃に対して十分な堅牢性も示しています。

要約(オリジナル)

Object detection has found extensive applications in various tasks, but it is also susceptible to adversarial patch attacks. Existing defense methods often necessitate modifications to the target model or result in unacceptable time overhead. In this paper, we adopt a counterattack approach, following the principle of ‘fight fire with fire,’ and propose a novel and general methodology for defending adversarial attacks. We utilize an active defense strategy by injecting two types of defensive patches, canary and woodpecker, into the input to proactively probe or weaken potential adversarial patches without altering the target model. Moreover, inspired by randomization techniques employed in software security, we employ randomized canary and woodpecker injection patterns to defend against defense-aware attacks. The effectiveness and practicality of the proposed method are demonstrated through comprehensive experiments. The results illustrate that canary and woodpecker achieve high performance, even when confronted with unknown attack methods, while incurring limited time overhead. Furthermore, our method also exhibits sufficient robustness against defense-aware attacks, as evidenced by adaptive attack experiments.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google