ECLIPSE: Expunging Clean-label Indiscriminate Poisons via Sparse Diffusion Purification

要約

クリーンラベルの無差別ポイズニング攻撃は、正しくラベル付けされたトレーニング画像に目に見えない摂動を追加するため、被害者モデルの汎化能力が大幅に低下します。
最近、敵対的トレーニング、画像変換技術、画像浄化などのいくつかの防御メカニズムが提案されています。
ただし、これらのスキームは、非現実的な仮定に基づいて構築された適応型攻撃の影響を受けやすいか、特定の種類の毒に対してのみ有効であるため、普遍的な適用性が制限されています。
この研究では、ECLIPSEと呼ばれる、より普遍的に効果的で実用的で堅牢な防御スキームを提案します。
まず、ガウス ノイズが毒に及ぼす影響を調査し、十分なランダム ノイズを与えると、あらゆる種類の毒がほぼ同化されることを理論的に証明します。
これを考慮して、被害者が非常に限られた数のきれいな画像 (より実用的なシーン) にアクセスできると仮定し、その後、ノイズ除去確率モデル (汎用ノイズ除去ツール) をトレーニングするためにこのスパース セットを拡大します。
次に、毒を吸収するためにガウス ノイズを導入することから始め、次にノイズ除去にモデルを適用して、大まかに精製されたデータセットが得られます。
最後に、ガウス ノイズによるさまざまな毒の同化感度の不一致のトレードオフに対処するために、残留毒を効果的に除去し、より普遍的な防御アプローチを提供する軽量の破損補償モジュールを提案します。
広範な実験により、当社の防御アプローチが 10 の最先端の防御を上回ることが実証されました。
また、ECLIPSE に対する適応型攻撃を提案し、防御スキームの堅牢性を検証します。
私たちのコードは https://github.com/CGCL-codes/ECLIPSE で入手できます。

要約(オリジナル)

Clean-label indiscriminate poisoning attacks add invisible perturbations to correctly labeled training images, thus dramatically reducing the generalization capability of the victim models. Recently, some defense mechanisms have been proposed such as adversarial training, image transformation techniques, and image purification. However, these schemes are either susceptible to adaptive attacks, built on unrealistic assumptions, or only effective against specific poison types, limiting their universal applicability. In this research, we propose a more universally effective, practical, and robust defense scheme called ECLIPSE. We first investigate the impact of Gaussian noise on the poisons and theoretically prove that any kind of poison will be largely assimilated when imposing sufficient random noise. In light of this, we assume the victim has access to an extremely limited number of clean images (a more practical scene) and subsequently enlarge this sparse set for training a denoising probabilistic model (a universal denoising tool). We then begin by introducing Gaussian noise to absorb the poisons and then apply the model for denoising, resulting in a roughly purified dataset. Finally, to address the trade-off of the inconsistency in the assimilation sensitivity of different poisons by Gaussian noise, we propose a lightweight corruption compensation module to effectively eliminate residual poisons, providing a more universal defense approach. Extensive experiments demonstrate that our defense approach outperforms 10 state-of-the-art defenses. We also propose an adaptive attack against ECLIPSE and verify the robustness of our defense scheme. Our code is available at https://github.com/CGCL-codes/ECLIPSE.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google