MANI-Pure: Magnitude-Adaptieve Geluidsinjectie voor Adversariële Zuivering

Samenvatting

Adversariale zuivering met diffusiemodellen is naar voren gekomen als een veelbelovende verdedigingsstrategie, maar bestaande methoden vertrouwen doorgaans op uniforme ruisinjectie, die alle frequenties ongericht verstoort, semantische structuren aantast en de robuustheid ondermijnt. Onze empirische studie toont aan dat adversariale verstoringen niet uniform verdeeld zijn: ze zijn voornamelijk geconcentreerd in hoogfrequente gebieden, met heterogene intensiteitspatronen die variëren over frequenties en aanvalstypen. Geïnspireerd door deze observatie introduceren we MANI-Pure, een magnitude-adaptief zuiveringsframework dat het magnitudespectrum van inputs gebruikt om het zuiveringsproces te sturen. In plaats van homogene ruis te injecteren, past MANI-Pure adaptief heterogene, frequentiegerichte ruis toe, waardoor adversariale verstoringen effectief worden onderdrukt in kwetsbare hoogfrequente, laagmagnitude banden, terwijl semantisch kritieke laagfrequente inhoud behouden blijft. Uitgebreide experimenten op CIFAR-10 en ImageNet-1K valideren de effectiviteit van MANI-Pure. Het verkleint het gat in nauwkeurigheid op schone data tot binnen 0,59 van de oorspronkelijke classifier, terwijl het de robuuste nauwkeurigheid met 2,15 verhoogt, en behaalt de top-1 robuuste nauwkeurigheid op de RobustBench leaderboard, waarmee het de vorige state-of-the-art methode overtreft.

English

Adversarial purification with diffusion models has emerged as a promising defense strategy, but existing methods typically rely on uniform noise injection, which indiscriminately perturbs all frequencies, corrupting semantic structures and undermining robustness. Our empirical study reveals that adversarial perturbations are not uniformly distributed: they are predominantly concentrated in high-frequency regions, with heterogeneous magnitude intensity patterns that vary across frequencies and attack types. Motivated by this observation, we introduce MANI-Pure, a magnitude-adaptive purification framework that leverages the magnitude spectrum of inputs to guide the purification process. Instead of injecting homogeneous noise, MANI-Pure adaptively applies heterogeneous, frequency-targeted noise, effectively suppressing adversarial perturbations in fragile high-frequency, low-magnitude bands while preserving semantically critical low-frequency content. Extensive experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original classifier, while boosting robust accuracy by 2.15, and achieves the top-1 robust accuracy on the RobustBench leaderboard, surpassing the previous state-of-the-art method.

MANI-Pure: Magnitude-Adaptieve Geluidsinjectie voor Adversariële Zuivering

MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification

Samenvatting

Support