MANI-Pure: Injeção de Ruído Adaptativo à Magnitude para Purificação Adversarial
MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification
September 29, 2025
Autores: Xiaoyi Huang, Junwei Wu, Kejia Zhang, Carl Yang, Zhiming Luo
cs.AI
Resumo
A purificação adversária com modelos de difusão emergiu como uma estratégia de defesa promissora, mas os métodos existentes geralmente dependem da injeção uniforme de ruído, que perturba indiscriminadamente todas as frequências, corrompendo estruturas semânticas e comprometendo a robustez. Nosso estudo empírico revela que as perturbações adversárias não são distribuídas uniformemente: elas estão predominantemente concentradas em regiões de alta frequência, com padrões heterogêneos de intensidade de magnitude que variam entre frequências e tipos de ataque. Motivados por essa observação, introduzimos o MANI-Pure, uma estrutura de purificação adaptativa à magnitude que utiliza o espectro de magnitude das entradas para guiar o processo de purificação. Em vez de injetar ruído homogêneo, o MANI-Pure aplica adaptativamente ruído heterogêneo e direcionado por frequência, suprimindo efetivamente as perturbações adversárias em bandas frágeis de alta frequência e baixa magnitude, enquanto preserva o conteúdo semanticamente crítico de baixa frequência. Experimentos extensivos no CIFAR-10 e ImageNet-1K validam a eficácia do MANI-Pure. Ele reduz a lacuna de precisão limpa para dentro de 0,59 do classificador original, enquanto aumenta a precisão robusta em 2,15, e alcança a precisão robusta top-1 no leaderboard do RobustBench, superando o método estado da arte anterior.
English
Adversarial purification with diffusion models has emerged as a promising
defense strategy, but existing methods typically rely on uniform noise
injection, which indiscriminately perturbs all frequencies, corrupting semantic
structures and undermining robustness. Our empirical study reveals that
adversarial perturbations are not uniformly distributed: they are predominantly
concentrated in high-frequency regions, with heterogeneous magnitude intensity
patterns that vary across frequencies and attack types. Motivated by this
observation, we introduce MANI-Pure, a magnitude-adaptive purification
framework that leverages the magnitude spectrum of inputs to guide the
purification process. Instead of injecting homogeneous noise, MANI-Pure
adaptively applies heterogeneous, frequency-targeted noise, effectively
suppressing adversarial perturbations in fragile high-frequency, low-magnitude
bands while preserving semantically critical low-frequency content. Extensive
experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of
MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original
classifier, while boosting robust accuracy by 2.15, and achieves the top-1
robust accuracy on the RobustBench leaderboard, surpassing the previous
state-of-the-art method.