Adversarial Masked Autoencoder Purifier with Defense Transferability

要約

敵対的な防衛の研究は、高度な敵対的攻撃との戦闘に依然として苦労しています。
テスト時間防御の拡散モデルに依存して推論時間を著しく増加させるほとんどの以前の研究とは対照的に、マスクされたオートエンコーダー浄化器（MAEP）を提案します。
。
MAEPは有望な敵対的堅牢性を達成しますが、特に、トレーニングデータセットとは異なる追加データの使用に依存することなく、モデルの防御移転性と攻撃一般化を特徴としています。
私たちの知る限り、MAEPはMAEに基づいた敵対的清浄機の最初の研究です。
広範な実験結果は、私たちの方法がわずかな低下だけで明確な精度を維持できるだけでなく、クリーンと堅牢な精度の間に密接なギャップを示すことを示しています。
特に、CIFAR10でトレーニングされたMAEPは、Imagenetで直接テストされた場合でも最先端のパフォーマンスを達成し、Imagenetで特別に訓練された既存の拡散ベースのモデルを上回ります。

要約(オリジナル)

The study of adversarial defense still struggles to combat with advanced adversarial attacks. In contrast to most prior studies that rely on the diffusion model for test-time defense to remarkably increase the inference time, we propose Masked AutoEncoder Purifier (MAEP), which integrates Masked AutoEncoder (MAE) into an adversarial purifier framework for test-time purification. While MAEP achieves promising adversarial robustness, it particularly features model defense transferability and attack generalization without relying on using additional data that is different from the training dataset. To our knowledge, MAEP is the first study of adversarial purifier based on MAE. Extensive experimental results demonstrate that our method can not only maintain clear accuracy with only a slight drop but also exhibit a close gap between the clean and robust accuracy. Notably, MAEP trained on CIFAR10 achieves state-of-the-art performance even when tested directly on ImageNet, outperforming existing diffusion-based models trained specifically on ImageNet.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google