PatchZero:パッチを検出してゼロにすることにより、敵対的なパッチ攻撃を防御します
PatchZero: Defending against Adversarial Patch Attacks by Detecting and Zeroing the Patch
敵対的パッチ攻撃は、ローカル領域内に敵対的ピクセルを注入することにより、ニューラルネットワークを誤解させます。パッチ攻撃は、さまざまなタスクで非常に効果的であり、実際のオブジェクトへの添付ファイル(ステッカーなど)を介して物理的に実現できます。攻撃パターンの多様性にもかかわらず、敵対的なパッチは非常にテクスチャが多く、自然の画像とは外観が異なる傾向があります。このプロパティを悪用し、ダウンストリームの分類器や検出器を再トレーニングすることなく、ホワイトボックスの敵対的なパッチに対する一般的な防御パイプラインであるPatchZeroを提示します。具体的には、防御はピクセルレベルで敵を検出し、平均ピクセル値で再描画することでパッチ領域を「ゼロアウト」します。さらに、より強力な適応攻撃から防御するために、2段階の敵対的訓練スキームを設計します。 PatchZeroは、画像分類(ImageNet、RESISC45)、オブジェクト検出(PASCAL VOC)、およびビデオ分類(UCF101)タスクで、良性のパフォーマンスをほとんど低下させることなく、SOTA防御パフォーマンスを実現します。さらに、PatchZeroはさまざまなパッチ形状と攻撃タイプに移行します。
Adversarial patch attacks mislead neural networks by injecting adversarial pixels within a local region. Patch attacks can be highly effective in a variety of tasks and physically realizable via attachment (e.g. a sticker) to the real-world objects. Despite the diversity in attack patterns, adversarial patches tend to be highly textured and different in appearance from natural images. We exploit this property and present PatchZero, a general defense pipeline against white-box adversarial patches without retraining the downstream classifier or detector. Specifically, our defense detects adversaries at the pixel-level and "zeros out" the patch region by repainting with mean pixel values. We further design a two-stage adversarial training scheme to defend against the stronger adaptive attacks. PatchZero achieves SOTA defense performance on the image classification (ImageNet, RESISC45), object detection (PASCAL VOC), and video classification (UCF101) tasks with little degradation in benign performance. In addition, PatchZero transfers to different patch shapes and attack types.
updated: Wed Jul 13 2022 05:53:59 GMT+0000 (UTC)
published: Tue Jul 05 2022 03:49:08 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト