要約
拡散ベースの浄化 (DBP) は、敵対的な攻撃に対する効果的な防御メカニズムとして登場しました。
DBP の有効性は、ガウス ノイズの追加を通じてクリーンな画像と敵対的な画像の間の分布ギャップを狭める前方拡散プロセスに起因すると考えられています。
この説明には理論的な裏付けがありますが、堅牢性に対するその寄与の重要性は依然として不明です。
この論文では、DBP プロセスに固有の確率性がその堅牢性の主な要因であると主張します。
これを調査するために、確率性がない場合の堅牢性を評価し、攻撃の軌跡と損失状況を分析するための新しい決定論的ホワイトボックス (DW ボックス) 評価プロトコルを導入します。
私たちの調査結果は、DBP モデルは主に確率論を利用して効果的な攻撃方向を回避しており、敵対的な摂動を浄化する能力が弱い可能性があることを示唆しています。
DBP モデルの堅牢性をさらに強化するために、分類子ガイドによる敵対的摂動を拡散トレーニングに組み込む敵対的ノイズ除去拡散トレーニング (ADDT) を導入します。これにより、敵対的摂動を浄化する DBP モデルの能力が強化されます。
さらに、摂動と拡散モデルの互換性を高めるために、ランクベース ガウス マッピング (RBGM) を提案します。
実験結果により、ADDT の有効性が検証されています。
結論として、私たちの研究は、DBP に関する将来の研究が、確率ベースの堅牢性と精製ベースの堅牢性を分離するという観点から恩恵を受ける可能性があることを示唆しています。
要約(オリジナル)
Diffusion-Based Purification (DBP) has emerged as an effective defense mechanism against adversarial attacks. The efficacy of DBP has been attributed to the forward diffusion process, which narrows the distribution gap between clean and adversarial images through the addition of Gaussian noise. Although this explanation has some theoretical support, the significance of its contribution to robustness remains unclear. In this paper, we argue that the inherent stochasticity in the DBP process is the primary driver of its robustness. To explore this, we introduce a novel Deterministic White-Box (DW-box) evaluation protocol to assess robustness in the absence of stochasticity and to analyze the attack trajectories and loss landscapes. Our findings suggest that DBP models primarily leverage stochasticity to evade effective attack directions, and their ability to purify adversarial perturbations can be weak. To further enhance the robustness of DBP models, we introduce Adversarial Denoising Diffusion Training (ADDT), which incorporates classifier-guided adversarial perturbations into diffusion training, thereby strengthening the DBP models’ ability to purify adversarial perturbations. Additionally, we propose Rank-Based Gaussian Mapping (RBGM) to make perturbations more compatible with diffusion models. Experimental results validate the effectiveness of ADDT. In conclusion, our study suggests that future research on DBP can benefit from the perspective of decoupling the stochasticity-based and purification-based robustness.
arxiv情報
著者 | Yiming Liu,Kezhao Liu,Yao Xiao,Ziyi Dong,Xiaogang Xu,Pengxu Wei,Liang Lin |
発行日 | 2024-10-02 16:28:38+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google