MANI-Pure: 敵対的浄化のための大きさ適応型ノイズ注入
MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification
September 29, 2025
著者: Xiaoyi Huang, Junwei Wu, Kejia Zhang, Carl Yang, Zhiming Luo
cs.AI
要旨
拡散モデルを用いた敵対的浄化は有望な防御戦略として登場しましたが、既存の手法は通常、均一なノイズ注入に依存しており、すべての周波数を無差別に撹乱し、意味構造を損なって堅牢性を低下させています。私たちの実証研究によると、敵対的摂動は均一に分布しているわけではありません:それらは主に高周波領域に集中しており、周波数や攻撃タイプによって異なる大きさの強度パターンを持っています。この観察に基づき、私たちはMANI-Pureを導入しました。これは、入力の大きさスペクトルを活用して浄化プロセスを導く、大きさ適応型の浄化フレームワークです。均一なノイズを注入する代わりに、MANI-Pureは異種の周波数ターゲットノイズを適応的に適用し、脆弱な高周波・低振幅帯域の敵対的摂動を効果的に抑制しながら、意味的に重要な低周波コンテンツを保持します。CIFAR-10とImageNet-1Kでの広範な実験により、MANI-Pureの有効性が検証されました。これは、元の分類器とのクリーン精度の差を0.59以内に狭め、堅牢精度を2.15向上させ、RobustBenchリーダーボードでトップ1の堅牢精度を達成し、以前の最先端手法を上回りました。
English
Adversarial purification with diffusion models has emerged as a promising
defense strategy, but existing methods typically rely on uniform noise
injection, which indiscriminately perturbs all frequencies, corrupting semantic
structures and undermining robustness. Our empirical study reveals that
adversarial perturbations are not uniformly distributed: they are predominantly
concentrated in high-frequency regions, with heterogeneous magnitude intensity
patterns that vary across frequencies and attack types. Motivated by this
observation, we introduce MANI-Pure, a magnitude-adaptive purification
framework that leverages the magnitude spectrum of inputs to guide the
purification process. Instead of injecting homogeneous noise, MANI-Pure
adaptively applies heterogeneous, frequency-targeted noise, effectively
suppressing adversarial perturbations in fragile high-frequency, low-magnitude
bands while preserving semantically critical low-frequency content. Extensive
experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of
MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original
classifier, while boosting robust accuracy by 2.15, and achieves the top-1
robust accuracy on the RobustBench leaderboard, surpassing the previous
state-of-the-art method.