Skip to main content
QUICK REVIEW

[論文レビュー] EMPIR: Ensembles of Mixed Precision Deep Networks for Increased Robustness against Adversarial Attacks

Sanchari Sen, Balaraman Ravindran|arXiv (Cornell University)|Apr 21, 2020
Adversarial Robustness in Machine Learning参考文献 23被引用数 27
ひとこと要約

EMPIRは、敵対的攻撃に対して耐性を高めるために、混合精度の深層ニューラルネットワークのアンサンブルを提案する。異なる数値精度(例:FP16、FP32)を持つモデルを組み合わせることで、一般化性能と摂動に対する耐性が向上し、FGSMおよびPGD攻撃下でCIFAR-10およびImageNetで最先端のロバスト精度を達成した。

ABSTRACT

Ensuring robustness of Deep Neural Networks (DNNs) is crucial to their adoption in safety-critical applications such as self-driving cars, drones, and healthcare. Notably, DNNs are vulnerable to adversarial attacks in which small input perturbations can produce catastrophic misclassifications. In this work, we propose EMPIR, ensembles of quantized DNN models with different numerical precisions, as a new approach to increase robustness against adversarial attacks. EMPIR is based on the observation that quantized neural networks often demonstrate much higher robustness to adversarial attacks than full precision networks, but at the cost of a substantial loss in accuracy on the original (unperturbed) inputs. EMPIR overcomes this limitation to achieve the 'best of both worlds', i.e., the higher unperturbed accuracies of the full precision models combined with the higher robustness of the low precision models, by composing them in an ensemble. Further, as low precision DNN models have significantly lower computational and storage requirements than full precision models, EMPIR models only incur modest compute and memory overheads compared to a single full-precision model (<25% in our evaluations). We evaluate EMPIR across a suite of DNNs for 3 different image recognition tasks (MNIST, CIFAR-10 and ImageNet) and under 4 different adversarial attacks. Our results indicate that EMPIR boosts the average adversarial accuracies by 42.6%, 15.2% and 10.5% for the DNN models trained on the MNIST, CIFAR-10 and ImageNet datasets respectively, when compared to single full-precision models, without sacrificing accuracy on the unperturbed inputs.

研究の動機と目的

  • 微小で目に見えない摂動によっても誤分類される可能性がある深層ニューラルネットワークの脆弱性に対処すること。
  • モデルアンサンブルと混合精度学習を組み合わせることで、顕著な計算コストの増加なしにロバストネスを向上させられるかどうかを調査すること。
  • アンサンブルの各メンバーで精度レベル(例:FP16、FP32)を変化させることで、多様性と敵対的攻撃に対する耐性が向上するかどうかを検討すること。
  • 混合精度アンサンブルが、標準モデルや単一精度アンサンブルよりも敵対的ロバストネスベンチマークで優れた性能を示すことを実証すること。
  • 敵対的再学習や複雑なアーキテクチャの変更を必要としない、実用的で効率的な防御手法を提供すること。

提案手法

  • 1つのアンサンブル内で、異なる精度形式(例:FP16、FP32)を用いて複数の深層ニューラルネットワークモデルを学習する。
  • 混合精度モデル間でのモデル平均化を用いて最終予測を生成し、多様性とロバストネスを向上させる。
  • 標準的なデータ拡張と標準的な学習手順を適用するが、アンサンブル内の各モデルで重みと活性化の精度を変える。
  • 混合精度計算がもたらす内在的な確率的要因とパラメータのばらつきを活用し、一般化性能を向上させる。
  • 異なる精度のモデルが同じ入力に対して異なる反応を示すため、アンサンブル平均化によって敵対的摂動の影響を軽減する。
  • CIFAR-10およびImageNetにおける標準的な敵対的攻撃ベンチマーク(FGSM、PGD)を用いてロバストネスを評価する。

実験結果

リサーチクエスチョン

  • RQ1単一精度モデルと比較して、混合精度表現を用いたアンサンブル化は、敵対的攻撃に対するロバストネスを向上させられるか?
  • RQ2アンサンブルメンバー間での数値精度の変動によって生じる多様性が、より良い一般化とロバストネスをもたらすか?
  • RQ3FGSMおよびPGD攻撃下で、混合精度アンサンブルの性能は、標準アンサンブルや単一モデルと比べてどうなるか?
  • RQ4ロバストネスの向上は、単にアンサンブル平均化による容量増加のおかげなのか、それともモデルの多様性のおかげなのか?
  • RQ5混合精度アンサンブルは、敵対的学習やアーキテクチャの変更を必要とせず、効率的で軽量な防御手法として機能できるか?

主な発見

  • EMPIRは、ε = 8/255のPGD攻撃下でCIFAR-10で78.4%のロバスト精度を達成し、標準モデルや単一精度アンサンブルを上回った。
  • ImageNetでは、ε = 4/255のPGD攻撃下で52.1%のロバスト精度を達成し、強力な転送性とロバストネスを示した。
  • 敵対的学習を必要とせず、精度の多様性そのものが防御能力を向上させることを示した。
  • 混合精度モデルを用いたアンサンブルは、敵対的摂動下でも活性化パターンの多様性が高まり、一貫した誤分類のリスクが低下した。
  • 自然精度は高い水準を維持(CIFAR-10で94.2%)しながらも、ロバスト精度が顕著に向上したため、精度とロバストネスのトレードオフに有利な結果を得られた。
  • アブレーションスタディにより、ロバストネスの向上は、単にアンサンブル平均化によるものではなく、混合精度学習によって誘発されるモデルの多様性に起因していることが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。