MANI-Pure: Inyección de Ruido Adaptativa en Magnitud para Purificación Adversaria
MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification
September 29, 2025
Autores: Xiaoyi Huang, Junwei Wu, Kejia Zhang, Carl Yang, Zhiming Luo
cs.AI
Resumen
La purificación adversaria con modelos de difusión ha surgido como una estrategia de defensa prometedora, pero los métodos existentes suelen depender de la inyección uniforme de ruido, que perturba indiscriminadamente todas las frecuencias, corrompiendo las estructuras semánticas y socavando la robustez. Nuestro estudio empírico revela que las perturbaciones adversarias no están distribuidas uniformemente: se concentran predominantemente en regiones de alta frecuencia, con patrones de intensidad de magnitud heterogéneos que varían según las frecuencias y los tipos de ataque. Motivados por esta observación, presentamos MANI-Pure, un marco de purificación adaptativa a la magnitud que aprovecha el espectro de magnitud de las entradas para guiar el proceso de purificación. En lugar de inyectar ruido homogéneo, MANI-Pure aplica de manera adaptativa ruido heterogéneo dirigido a frecuencias específicas, suprimiendo eficazmente las perturbaciones adversarias en las bandas frágiles de alta frecuencia y baja magnitud, mientras preserva el contenido semánticamente crítico de baja frecuencia. Experimentos exhaustivos en CIFAR-10 e ImageNet-1K validan la efectividad de MANI-Pure. Reduce la brecha de precisión en datos limpios a menos de 0.59 respecto al clasificador original, mientras aumenta la precisión robusta en 2.15, y logra la precisión robusta top-1 en el ranking de RobustBench, superando el método anterior más avanzado.
English
Adversarial purification with diffusion models has emerged as a promising
defense strategy, but existing methods typically rely on uniform noise
injection, which indiscriminately perturbs all frequencies, corrupting semantic
structures and undermining robustness. Our empirical study reveals that
adversarial perturbations are not uniformly distributed: they are predominantly
concentrated in high-frequency regions, with heterogeneous magnitude intensity
patterns that vary across frequencies and attack types. Motivated by this
observation, we introduce MANI-Pure, a magnitude-adaptive purification
framework that leverages the magnitude spectrum of inputs to guide the
purification process. Instead of injecting homogeneous noise, MANI-Pure
adaptively applies heterogeneous, frequency-targeted noise, effectively
suppressing adversarial perturbations in fragile high-frequency, low-magnitude
bands while preserving semantically critical low-frequency content. Extensive
experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of
MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original
classifier, while boosting robust accuracy by 2.15, and achieves the top-1
robust accuracy on the RobustBench leaderboard, surpassing the previous
state-of-the-art method.