PatchDEMUX: A Certifiably Robust Framework for Multi-label Classifiers Against Adversarial Patches

要約

ディープラーニング技術により、コンピュータービジョンテクノロジーの大幅な改善が可能になりました。
それにもかかわらず、これらのモデルは、壊滅的なパフォーマンスを損なう敵対的なパッチ攻撃に対して脆弱です。
これらの攻撃の物理的に実現可能な性質は、堅牢性に関する証明された保証を特徴とする認証可能な防御を求めています。
認定可能な防御は単一ラベル分類に成功裏に適用されていますが、マルチラベル分類のために制限された作業が行われています。
この作業では、敵対的なパッチに対するマルチラベル分類器のための証明的に堅牢なフレームワークであるPatchDemuxを提示します。
私たちのアプローチは、単一ラベル分類のために既存の認証可能な防御を拡張できる一般化可能な方法です。
これは、マルチラベル分類タスクを一連の孤立したバイナリ分類問題と見なすことで行われ、堅牢性を証明することを証明します。
さらに、攻撃者が単一のパッチに制限されているシナリオでは、堅牢性の範囲をより強く提供できる追加の認証手順を提案します。
現在の最先端の（SOTA）シングルラベル認証可能な防衛Patchcleanserをバックボーンとして使用して、PatchDemuxはMS-COCOおよびPascal VOCデータセットで非自明の堅牢性を達成できることがわかりました。

要約(オリジナル)

Deep learning techniques have enabled vast improvements in computer vision technologies. Nevertheless, these models are vulnerable to adversarial patch attacks which catastrophically impair performance. The physically realizable nature of these attacks calls for certifiable defenses, which feature provable guarantees on robustness. While certifiable defenses have been successfully applied to single-label classification, limited work has been done for multi-label classification. In this work, we present PatchDEMUX, a certifiably robust framework for multi-label classifiers against adversarial patches. Our approach is a generalizable method which can extend any existing certifiable defense for single-label classification; this is done by considering the multi-label classification task as a series of isolated binary classification problems to provably guarantee robustness. Furthermore, in the scenario where an attacker is limited to a single patch we propose an additional certification procedure that can provide tighter robustness bounds. Using the current state-of-the-art (SOTA) single-label certifiable defense PatchCleanser as a backbone, we find that PatchDEMUX can achieve non-trivial robustness on the MS-COCO and PASCAL VOC datasets while maintaining high clean performance

arxiv情報

提供元, 利用サービス

arxiv.jp, Google