Human Aligned Compression for Robust Models

要約

画像モデルに対する敵対的な攻撃は、誤った予測を引き起こす知覚できない摂動を導入することにより、システムの堅牢性を脅かします。
さまざまな品質レベルで従来のJPEGと2つの学習モデル（HificとElic）を比較して、人間に合った学習された喪失圧縮を防御メカニズムとして調査します。
Imagenet Subsetでの実験は、敵対的なノイズを除去しながら意味的に意味のあるコンテンツを保存することにより、学習した圧縮方法がJPEG、特に視覚変圧器アーキテクチャよりも優れていることを示しています。
攻撃者が防御にアクセスできるホワイトボックス設定でさえ、これらの方法は実質的な効果を維持します。
また、圧縮/減圧のラウンドを適用する順次圧縮が、分類のパフォーマンスを維持しながら、防御効果を重要に促進することを示しています。
私たちの調査結果は、人間に合った圧縮が、人間と機械の理解に最も関連する画像機能を保護する効果的で計算効率の良い防御を提供することを明らかにしています。
敵対的な脅威に対するモデルの堅牢性を改善するための実用的なアプローチを提供します。

要約(オリジナル)

Adversarial attacks on image models threaten system robustness by introducing imperceptible perturbations that cause incorrect predictions. We investigate human-aligned learned lossy compression as a defense mechanism, comparing two learned models (HiFiC and ELIC) against traditional JPEG across various quality levels. Our experiments on ImageNet subsets demonstrate that learned compression methods outperform JPEG, particularly for Vision Transformer architectures, by preserving semantically meaningful content while removing adversarial noise. Even in white-box settings where attackers can access the defense, these methods maintain substantial effectiveness. We also show that sequential compression–applying rounds of compression/decompression–significantly enhances defense efficacy while maintaining classification performance. Our findings reveal that human-aligned compression provides an effective, computationally efficient defense that protects the image features most relevant to human and machine understanding. It offers a practical approach to improving model robustness against adversarial threats.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google