FlowPure: Continuous Normalizing Flows for Adversarial Purification

要約

この地域の大幅な進歩にもかかわらず、機械学習モデルを採用しているシステムでは、敵対的な堅牢性が重要な課題のままです。
敵対的浄化として知られる推論時間での敵対的摂動の除去は、有望な防衛戦略として浮上しています。
これを達成するために、最先端の方法は、逆境の摂動を希釈するために前方プロセス中にガウスノイズを注入する拡散モデルを活用し、その後分類前にクリーンサンプルを復元するための除去ステップが続きます。
この作業では、条件付きフローマッチング（CFM）で訓練された連続正規化フロー（CNFS）に基づいた新しい精製方法であるフローチャーを提案して、敵の例からクリーンなカウンターパートにマッピングを学習します。
固定ノイズプロセスに依存する以前の拡散ベースのアプローチとは異なり、Flowpureは特定の攻撃知識を活用して既知の脅威の下で堅牢性を改善すると同時に、そのような知識が利用できない設定のガウス摂動について訓練されたより一般的な確率的変異もサポートします。
CIFAR-10およびCIFAR-100での実験は、私たちの方法が、前室およびホワイトボックスシナリオの最先端の浄化ベースの防御よりも優れていることを示しており、前者の良性精度を完全に保存しながらそうすることができます。
さらに、我々の結果は、流動が非常に効果的な浄化器であるだけでなく、敵対的検出の強い可能性も保持し、完全な精度を持つ前処理器盲検PGDサンプルを特定することを示しています。

要約(オリジナル)

Despite significant advancements in the area, adversarial robustness remains a critical challenge in systems employing machine learning models. The removal of adversarial perturbations at inference time, known as adversarial purification, has emerged as a promising defense strategy. To achieve this, state-of-the-art methods leverage diffusion models that inject Gaussian noise during a forward process to dilute adversarial perturbations, followed by a denoising step to restore clean samples before classification. In this work, we propose FlowPure, a novel purification method based on Continuous Normalizing Flows (CNFs) trained with Conditional Flow Matching (CFM) to learn mappings from adversarial examples to their clean counterparts. Unlike prior diffusion-based approaches that rely on fixed noise processes, FlowPure can leverage specific attack knowledge to improve robustness under known threats, while also supporting a more general stochastic variant trained on Gaussian perturbations for settings where such knowledge is unavailable. Experiments on CIFAR-10 and CIFAR-100 demonstrate that our method outperforms state-of-the-art purification-based defenses in preprocessor-blind and white-box scenarios, and can do so while fully preserving benign accuracy in the former. Moreover, our results show that not only is FlowPure a highly effective purifier but it also holds a strong potential for adversarial detection, identifying preprocessor-blind PGD samples with near-perfect accuracy.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google