[論文レビュー] Certified Adversarial Robustness via Randomized Smoothing
本論文は、Gaussian ノイズを加えることで任意の基底分類器から構築される平滑化分類器に対して tight l2 robustness guarantee を提供し、ImageNet やその他のデータセットに対して証明可能な robust accuracy を実現します。
We show how to turn any classifier that classifies well under Gaussian noise into a new classifier that is certifiably robust to adversarial perturbations under the $\ell_2$ norm. This "randomized smoothing" technique has been proposed recently in the literature, but existing guarantees are loose. We prove a tight robustness guarantee in $\ell_2$ norm for smoothing with Gaussian noise. We use randomized smoothing to obtain an ImageNet classifier with e.g. a certified top-1 accuracy of 49% under adversarial perturbations with $\ell_2$ norm less than 0.5 (=127/255). No certified defense has been shown feasible on ImageNet except for smoothing. On smaller-scale datasets where competing approaches to certified $\ell_2$ robustness are viable, smoothing delivers higher certified accuracies. Our strong empirical results suggest that randomized smoothing is a promising direction for future research into adversarially robust classification. Code and models are available at http://github.com/locuslab/smoothing.
研究の動機と目的
- ニューラルネットワークを超える大規模分類器における証明可能な頑健性を動機づける。
- 任意の基底分類器を証明可能に頑健な平滑化分類器へ変換するための randomized smoothing を導入する。
- Gaussian ノイズを用いた平滑化のための、次元に依存しない tight l2 robustness bound を導出する。
- 大型の基底モデルを用いて、ImageNet および小規模データセットで高い certified accuracy を実証する。
提案手法
- 平滑化分類器 g(x) を、Gaussian ノイズ N(x, sigma^2 I) の下での基底分類器 f の最も確率の高いラベルとして定義する。
- 厳密な tight l2 robustness guarantee を証明する:R = (sigma/2) (Phi^{-1}(p_A) - Phi^{-1}(p_B))、ここでノイズのある入力に対する f の確率 p_A および p_B。
- g は、x の周りの l2 ボール内で半径 R まで頑健であることを、p_A および p_B の境界が成り立つ場合に示す。
- monte carlo 手法(Predict および Certify)を提供し、g(x) を推定し、頑健性を高確率で証明する。
- f を Gaussian データ拡張で訓練し、ノイズ付き入力を一貫して分類できるようにする。
- 従来の certified defenses と比較し、ResNet-50 を基底分類器とする ImageNet へのスケーラビリティを実証する。
実験結果
リサーチクエスチョン
- RQ1Gaussian ノイズを用いた randomized smoothing は任意の基底分類器に対して l2 の provable robustness を提供し得るか。
- RQ2トップクラスの確率 p_A とランナーアップ確率 p_B を考慮した場合、正確にはどの程度の certified l2 半径が達成可能か。
- RQ3このアプローチは大規模データセット(例: ImageNet)や大規模な基底ネットワークへどのようにスケールするか。
- RQ4予測と証明のための提案手法(Monte Carlo 推定)は実務上どの程度性能を発揮するか。
主な発見
| Radius r (l2) | Best sigma | Cert. Acc (%) | Std. Acc (%) |
|---|---|---|---|
| 0.5 | 0.25 | 49 | 67 |
| 1.0 | 0.50 | 37 | 57 |
| 2.0 | 0.50 | 19 | 57 |
| 3.0 | 1.00 | 12 | 44 |
- 定理1は、p_A および p_B の検証可能な境界の下で、tight l2 certified radius R = (sigma/2)(Phi^{-1}(p_A) - Phi^{-1}(p_B)) を与える。
- 実験では、radius 0.5 (127/255) で ImageNet の top-1 certified accuracy が 49%、radius 1.0 で 37% を達成。
- CIFAR-10 と ImageNet の実験は、基底分類器を改良することで randomized smoothing による certified accuracy が向上することを示す。
- 平滑化は大規模で表現力の高い基底ネットワークの使用を可能にし、他の防御がスケールで苦労する領域においても certified robustness を達成する。
- 平滑化による予測(Predict)は速いが棄却する場合があり得る;証明(Certify)は高い確率での頑健性を保証する。
- このアプローチは ImageNet レベルの分類タスクを含む大規模モデルの証明可能な頑健性をもたらす。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。