MANI-Pure: Iniezione di Rumore Adattivo alla Magnitudine per la Purificazione Adversaria
MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification
September 29, 2025
Autori: Xiaoyi Huang, Junwei Wu, Kejia Zhang, Carl Yang, Zhiming Luo
cs.AI
Abstract
La purificazione avversaria con modelli di diffusione è emersa come una promettente strategia di difesa, ma i metodi esistenti si basano tipicamente sull'iniezione uniforme di rumore, che perturba indiscriminatamente tutte le frequenze, corrompendo le strutture semantiche e minando la robustezza. Il nostro studio empirico rivela che le perturbazioni avversarie non sono distribuite uniformemente: sono prevalentemente concentrate nelle regioni ad alta frequenza, con modelli di intensità di magnitudine eterogenei che variano in base alle frequenze e ai tipi di attacco. Motivati da questa osservazione, introduciamo MANI-Pure, un framework di purificazione adattivo alla magnitudine che sfrutta lo spettro di magnitudine degli input per guidare il processo di purificazione. Invece di iniettare rumore omogeneo, MANI-Pure applica in modo adattivo rumore eterogeneo e mirato alle frequenze, sopprimendo efficacemente le perturbazioni avversarie nelle bande fragili ad alta frequenza e bassa magnitudine, preservando al contempo il contenuto semanticamente critico a bassa frequenza. Esperimenti estesi su CIFAR-10 e ImageNet-1K convalidano l'efficacia di MANI-Pure. Riducono il divario di accuratezza pulita a meno di 0,59 rispetto al classificatore originale, aumentando l'accuratezza robusta di 2,15, e raggiungono la massima accuratezza robusta nella classifica di RobustBench, superando il precedente metodo all'avanguardia.
English
Adversarial purification with diffusion models has emerged as a promising
defense strategy, but existing methods typically rely on uniform noise
injection, which indiscriminately perturbs all frequencies, corrupting semantic
structures and undermining robustness. Our empirical study reveals that
adversarial perturbations are not uniformly distributed: they are predominantly
concentrated in high-frequency regions, with heterogeneous magnitude intensity
patterns that vary across frequencies and attack types. Motivated by this
observation, we introduce MANI-Pure, a magnitude-adaptive purification
framework that leverages the magnitude spectrum of inputs to guide the
purification process. Instead of injecting homogeneous noise, MANI-Pure
adaptively applies heterogeneous, frequency-targeted noise, effectively
suppressing adversarial perturbations in fragile high-frequency, low-magnitude
bands while preserving semantically critical low-frequency content. Extensive
experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of
MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original
classifier, while boosting robust accuracy by 2.15, and achieves the top-1
robust accuracy on the RobustBench leaderboard, surpassing the previous
state-of-the-art method.