Continual Adversarial Defense

要約

視覚的分類子に対する敵対的攻撃の性質が毎月急速に進化していることに対応して、できるだけ多くの既知の攻撃に対して一般化するために、数多くの防御策が提案されています。
しかし、防御システムが動作する環境は動的であり、時間の経過とともに出現するさまざまな固有の攻撃で構成されているため、あらゆる種類の攻撃に一般化する防御方法を設計することは現実的ではありません。
防御システムは、効率的なメモリ使用率を活用して、オンラインで数発の防御フィードバックを収集し、即座に強化する必要があります。
そこで、さまざまな攻撃が段階的に出現する動的なシナリオにおけるあらゆる攻撃に適応する、初の継続的敵対的防御 (CAD) フレームワークを提案します。
実際には、CAD は 4 つの原則に基づいてモデル化されます。(1) 致命的な忘れを伴うことなく新しい攻撃に継続的に適応する、(2) 少数ショットの適応、(3) メモリ効率の高い適応、(4) クリーンな画像と敵対的な画像の両方での高精度
。
私たちは、原則を認定するために、最先端の継続学習、少数回学習、およびアンサンブル学習手法を探索および統合します。
CIFAR-10 および ImageNet-100 で実施された実験では、現代の敵対的攻撃の複数段階に対する当社のアプローチの有効性が検証され、多数のベースライン手法に比べて大幅な改善が実証されました。
特に、CAD は、以前の攻撃に対して良好なパフォーマンスを維持しながら、最小限のフィードバックと低い防御失敗コストで迅速に適応できます。
私たちの研究は、動的かつ進化する攻撃に対する継続的な防御適応のためのまったく新しいパラダイムに光を当てます。

要約(オリジナル)

In response to the rapidly evolving nature of adversarial attacks against visual classifiers on a monthly basis, numerous defenses have been proposed to generalize against as many known attacks as possible. However, designing a defense method that generalizes to all types of attacks is not realistic because the environment in which defense systems operate is dynamic and comprises various unique attacks that emerge as time goes on. The defense system must gather online few-shot defense feedback to promptly enhance itself, leveraging efficient memory utilization. Therefore, we propose the first continual adversarial defense (CAD) framework that adapts to any attacks in a dynamic scenario, where various attacks emerge stage by stage. In practice, CAD is modeled under four principles: (1) continual adaptation to new attacks without catastrophic forgetting, (2) few-shot adaptation, (3) memory-efficient adaptation, and (4) high accuracy on both clean and adversarial images. We explore and integrate cutting-edge continual learning, few-shot learning, and ensemble learning techniques to qualify the principles. Experiments conducted on CIFAR-10 and ImageNet-100 validate the effectiveness of our approach against multiple stages of modern adversarial attacks and demonstrate significant improvements over numerous baseline methods. In particular, CAD is capable of quickly adapting with minimal feedback and a low cost of defense failure, while maintaining good performance against previous attacks. Our research sheds light on a brand-new paradigm for continual defense adaptation against dynamic and evolving attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google