Towards Better Adversarial Purification via Adversarial Denoising Diffusion Training

投稿日: 2024年4月23日 作成者: jarxiv

要約

最近、拡散ベースの浄化 (DBP) が、敵対的な攻撃から防御するための有望なアプローチとして浮上しています。
しかし、これまでの研究では DBP モデルの堅牢性を評価するために疑わしい方法が使用されており、DBP の堅牢性に関する説明にも実験的な裏付けがありません。
正確な勾配を使用して DBP の堅牢性を再調査し、DBP の堅牢性に対する確率性の影響について議論します。
DBP の堅牢性をよりよく説明するために、新しい攻撃設定、決定論的ホワイトボックス、および DBP の堅牢性の主な要因としての確率性を特定して DBP の堅牢性を評価します。
私たちの結果は、DBP モデルが敵対的な摂動に直接対抗するのではなく、最も効果的な攻撃方向を回避するために確率性に依存していることを示唆しています。
DBP モデルの堅牢性を向上させるために、Adversarial Denoising Diffusion Training (ADDT) を提案します。
この手法では、分類器ガイド付き摂動最適化 (CGPO) を使用して、事前トレーニングされた分類器からのガイダンスを通じて敵対的摂動を生成し、ランクベースのガウス マッピング (RBGM) を使用して敵対的摂動を正規のガウス分布に変換します。
経験的な結果は、ADDT が DBP モデルの堅牢性を向上させることを示しています。
さらなる実験により、ADDT が DBP モデルに敵対的な摂動に直接対抗する能力を備えていることが確認されました。

要約(オリジナル)

Recently, diffusion-based purification (DBP) has emerged as a promising approach for defending against adversarial attacks. However, previous studies have used questionable methods to evaluate the robustness of DBP models, their explanations of DBP robustness also lack experimental support. We re-examine DBP robustness using precise gradient, and discuss the impact of stochasticity on DBP robustness. To better explain DBP robustness, we assess DBP robustness under a novel attack setting, Deterministic White-box, and pinpoint stochasticity as the main factor in DBP robustness. Our results suggest that DBP models rely on stochasticity to evade the most effective attack direction, rather than directly countering adversarial perturbations. To improve the robustness of DBP models, we propose Adversarial Denoising Diffusion Training (ADDT). This technique uses Classifier-Guided Perturbation Optimization (CGPO) to generate adversarial perturbation through guidance from a pre-trained classifier, and uses Rank-Based Gaussian Mapping (RBGM) to convert adversarial pertubation into a normal Gaussian distribution. Empirical results show that ADDT improves the robustness of DBP models. Further experiments confirm that ADDT equips DBP models with the ability to directly counter adversarial perturbations.

arxiv情報

著者 Yiming Liu,Kezhao Liu,Yao Xiao,Ziyi Dong,Xiaogang Xu,Pengxu Wei,Liang Lin
発行日 2024-04-22 16:10:38+00:00
arxivサイト arxiv_id(pdf)

提供元, 利用サービス

arxiv.jp, Google

カテゴリー: cs.CV パーマリンク