CrossCert: A Cross-Checking Detection Approach to Patch Robustness Certification for Deep Learning Models

要約

パッチの堅牢性認証は、証明可能な保証を備えた、敵対的なパッチ攻撃に対する新しい種類の防御技術です。
研究ラインには、認定回収と認定検出の 2 つがあります。
彼らは、悪意のあるサンプルを証明可能な保証で正しくラベル付けすることと、証明可能な保証で非良性のラベルが予測される悪意のあるサンプルに対して警告を発することをそれぞれ目指しています。
しかし、既存の認定検出防御者は、改ざんの対象となるラベルを保護することに悩まされており、既存の認定回収防御者はラベルについてサンプルに体系的に警告することができません。
パッチ攻撃に対する堅牢なラベルと体系的な警告保護を同時に提供する、認定された防御が望ましいです。
この論文では、CrossCert と呼ばれる新しい認定防御技術を提案します。
CrossCert は、2 つの認定回復ディフェンダーを相互チェックすることで新しいアプローチを策定し、揺るぎない認定と検出認定を提供します。
揺るぎない認証により、認証サンプルは、パッチによる摂動にさらされた場合でも、証明可能な保証とともに警告を発することなく、常に良性のラベルを付けて返送されることが保証されます。
私たちの知る限り、CrossCert はこの保証を提供する最初の認定された検出技術です。
私たちの実験によると、CrossCert は ViP よりわずかにパフォーマンスが低く、検出認証に関しては PatchCensor と同等のパフォーマンスを示し、揺るぎない認証を保証してかなりの割合のサンプルを認証しています。

要約(オリジナル)

Patch robustness certification is an emerging kind of defense technique against adversarial patch attacks with provable guarantees. There are two research lines: certified recovery and certified detection. They aim to label malicious samples with provable guarantees correctly and issue warnings for malicious samples predicted to non-benign labels with provable guarantees, respectively. However, existing certified detection defenders suffer from protecting labels subject to manipulation, and existing certified recovery defenders cannot systematically warn samples about their labels. A certified defense that simultaneously offers robust labels and systematic warning protection against patch attacks is desirable. This paper proposes a novel certified defense technique called CrossCert. CrossCert formulates a novel approach by cross-checking two certified recovery defenders to provide unwavering certification and detection certification. Unwavering certification ensures that a certified sample, when subjected to a patched perturbation, will always be returned with a benign label without triggering any warnings with a provable guarantee. To our knowledge, CrossCert is the first certified detection technique to offer this guarantee. Our experiments show that, with a slightly lower performance than ViP and comparable performance with PatchCensor in terms of detection certification, CrossCert certifies a significant proportion of samples with the guarantee of unwavering certification.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google