Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Batch Normalization is a Cause of Adversarial Vulnerability

Angus Galloway, Anna Golubeva|arXiv (Cornell University)|May 6, 2019
Adversarial Robustness in Machine Learning参考文献 33被引用数 53
ひとこと要約

この論文は、バッチ正規化が敵対的脆弱性を高め、ノイズに対するロバスト性を低下させることを示しており、BNを除去するかL2ウェイトデケイを追加することで、クリーンな精度をあまり犠牲にせずロバスト性を改善できることを実証している。

ABSTRACT

Batch normalization (batch norm) is often used in an attempt to stabilize and accelerate training in deep neural networks. In many cases it indeed decreases the number of parameter updates required to achieve low training error. However, it also reduces robustness to small adversarial input perturbations and noise by double-digit percentages, as we show on five standard datasets. Furthermore, substituting weight decay for batch norm is sufficient to nullify the relationship between adversarial vulnerability and the input dimension. Our work is consistent with a mean-field analysis that found that batch norm causes exploding gradients.

研究の動機と目的

  • ニューラルネットワークにおけるロバストネスの懸念を動機づけ、BNに焦点を当てつつロバスト性を低下させる要因を調査する。
  • 標準的なデータセットとモデルにおいてBNが敵対的・ノイズ耐性に与える影響を経験的に評価する。
  • BNの存在が入力次元と脆弱性の間に観察される関係を説明するかを探る。
  • 代替正則化(例:L2ウェイトデケイ)が精度を犠牲にすることなくロバスト性を回復できるかを検討する。

提案手法

  • バッチ正規化の機構と前活性化への影響をレビュー・分析する。(式1)
  • MNIST、SVHN、CIFAR-10、ImageNet に対して、PGD攻撃(l_infty および l2)とガウシアンノイズの下でBNあり/なしモデルを経験的に比較する。
  • CIFAR-10-CおよびImageNetの事前学習済みモデルを用いて、さまざまな劣化タイプに対するロバスト性を評価する。
  • BNのロバスト性に及ぼすバッチサイズとネットワーク深さの役割を調べ、I(X;T)およびI(T;Y)の近似を含む。
  • BNをL2ウェイトデケイに置換することで、敵対的撹乱およびノイズに対するロバスト性が回復することを示す。

実験結果

リサーチクエスチョン

  • RQ1バッチ正規化は本質的に敵対的撹乱およびノイズに対する耐性を低下させるのか。
  • RQ2クリーンな精度を大幅に損なうことなく、BNの代わりにL2ウェイトデケイを用いてロバスト性を向上させることは可能か。
  • RQ3バッチサイズ、深さ、および正則化がBNと相互作用して、敵対的脆弱性と表現情報にどのような影響を与えるか。
  • RQ4観察される脆弱性は入力次元に結びついているのか、正則化によって分離できるか。
  • RQ5BNの影響を受けたモデルは、一般的な劣化ベンチマーク(CIFAR-10-C)および敵対的摂動下の事前学習済みImageNetモデルでどのように性能を示すか。

主な発見

  • BNは一部のデータセットでクリーン精度を向上させるが、加法ノイズやPGD摂動に対するロバスト性を低下させる(例:CIFAR-10、SVHN、ImageNet)。
  • BNをウェイトデケイに置換すると、敵対的脆弱性と入力次元の関係を打ち消し、敵対的およびノイズ条件下でのロバスト性を改善できる。
  • CIFAR-10およびCIFAR-10.1において、BNは未正規化モデルと比較してPGDロバスト性を大幅に低下させ、アーキテクチャ間で影響は異なる。
  • CIFAR-10-Cでは、BNは一般にノイズ型劣化に対する平均効果誤差を上げ、テストされたモデル全体で増加させる。
  • ImageNetの結果は、BNが一部のノイズ指標を改善する一方で、PGDロバスト性を一貫して低下させ、敵対的撹乱に対する絶対的な劣化が大きい。
  • 相互情報分析は、BNが表現を圧縮し(低い I(X;T))、ロバストネスの変化と相関することを示唆し、深さがBN生成の圧縮を拡大させる。
  • BNによって引き起こされる入力次元脆弱性の関係の喪失を補うことで、L2ウェイトデケイの導入はロバスト性を回復できる。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。