Closing the Gap: Achieving Better Accuracy-Robustness Tradeoffs against Query-Based Attacks

要約

クエリベースの攻撃に対する既存の防御には有望ではありますが、共通の制限があります。つまり、クリーンなサンプルでは精度が大幅に低下するという代償として、攻撃に対する堅牢性が向上します。
この研究では、クエリベースの攻撃を軽減する際に、堅牢性と精度の間の確実なトレードオフをテスト時に効率的に確立する方法を示します。
これらの攻撃は必然的に信頼性の低い領域を探索することを考えると、信頼性の低い入力に対してのみランダム ノイズ防御やランダム画像変換などの専用の防御をアクティブ化するだけで攻撃を防ぐのに十分であるという洞察が得られます。
私たちのアプローチはトレーニングとは独立しており、理論によって裏付けられています。
私たちは、CIFAR-10、CIFAR-100、ImageNet で広範な実験を行うことにより、さまざまな既存の防御に対するアプローチの有効性を検証します。
私たちの結果は、私たちの提案が完全にトレーニング不要でありながら、最先端のアプローチと比較して堅牢性と精度の間のより良いトレードオフを提供することにより、これらの防御を実際に強化できることを確認しています。

要約(オリジナル)

Although promising, existing defenses against query-based attacks share a common limitation: they offer increased robustness against attacks at the price of a considerable accuracy drop on clean samples. In this work, we show how to efficiently establish, at test-time, a solid tradeoff between robustness and accuracy when mitigating query-based attacks. Given that these attacks necessarily explore low-confidence regions, our insight is that activating dedicated defenses, such as random noise defense and random image transformations, only for low-confidence inputs is sufficient to prevent them. Our approach is independent of training and supported by theory. We verify the effectiveness of our approach for various existing defenses by conducting extensive experiments on CIFAR-10, CIFAR-100, and ImageNet. Our results confirm that our proposal can indeed enhance these defenses by providing better tradeoffs between robustness and accuracy when compared to state-of-the-art approaches while being completely training-free.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google