Core Concepts
Wir schlagen eine neuartige Verteidigungsstrategie namens COIN vor, die auf globalen zufälligen Pixel-Interpolationen basiert, um die Auswirkungen von multiplikativen Rauschen in konvolutionsbasierten unerlernbaren Datensätzen effektiv zu unterdrücken.
Abstract
In dieser Arbeit zeigen wir erstmals, dass bestehende Verteidigungsmechanismen gegen unerlernbare Datensätze alle ineffektiv gegen konvolutionsbasierte unerlernbare Datensätze sind. Um dieser Herausforderung zu begegnen, modellieren wir den Prozess bestehender konvolutionsbasierter unerlernbarer Datensätze basierend auf Gaußschen Mischmodellen und Bayes'schen Binärproblemen, indem wir multiplikative Matrizen auf Samples anwenden. Gleichzeitig entdecken wir, dass die Konsistenz des Rauschens innerhalb einer Klasse und zwischen Klassen in konvolutionsbasierten unerlernbaren Datensätzen einen tiefgreifenden Einfluss auf den unerlernbaren Effekt hat. Wir definieren zwei quantitative Metriken Θimi und Θimc und untersuchen, wie sich der Einfluss der multiplikativen Matrizen abschwächen lässt. Wir finden heraus, dass eine Erhöhung dieser beiden Metriken die Wirksamkeit von konvolutionsbasierten unerlernbaren Datensätzen abschwächen kann, und entwerfen eine neue Zufallsmatrix, um beide Metriken zu erhöhen. Darüber hinaus schlagen wir in diesem Kontext eine neuartige bildbasierte Transformation vor, die auf globalen zufälligen Pixel-Neuabtastungen über bilineare Interpolation basiert und universell gegen bestehende konvolutionsbasierte unerlernbare Datensätze schützt. Darüber hinaus haben wir zwei neue Arten von konvolutionsbasierten unerlernbaren Datensätzen entworfen und die Wirksamkeit unseres Verteidigungsansatzes gegen alle von ihnen experimentell validiert. Umfangreiche Experimente auf verschiedenen Benchmark-Datensätzen und weit verbreiteten Modellen bestätigten die Wirksamkeit unserer Verteidigung.
Stats
Die Testgenauigkeit ohne Verteidigung und mit AT sowie JPEG auf begrenzten unerlernbaren Datensätzen beträgt 19,32%, 42,18% bzw. 36,73%.
Die Testgenauigkeit ohne Verteidigung gegen CUDA beträgt 22,60%.
Quotes
"Bestehende Verteidigungsmechanismen gegen unerlernbare Datensätze sind alle ineffektiv gegen konvolutionsbasierte unerlernbare Datensätze."
"Wir finden heraus, dass eine Erhöhung der Konsistenz des Rauschens innerhalb einer Klasse und zwischen Klassen in konvolutionsbasierten unerlernbaren Datensätzen die Wirksamkeit abschwächen kann."