[論文レビュー] Improving Adversarial Robustness via Promoting Ensemble Diversity
The paper introduces an adaptive diversity promoting (ADP) regularizer to train ensembles by promoting diversity among non-maximal predictions, improving robustness to adversarial attacks while preserving accuracy on normal data.
Though deep neural networks have achieved significant progress on various tasks, often enhanced by model ensemble, existing high-performance models can be vulnerable to adversarial attacks. Many efforts have been devoted to enhancing the robustness of individual networks and then constructing a straightforward ensemble, e.g., by directly averaging the outputs, which ignores the interaction among networks. This paper presents a new method that explores the interaction among individual networks to improve robustness for ensemble models. Technically, we define a new notion of ensemble diversity in the adversarial setting as the diversity among non-maximal predictions of individual members, and present an adaptive diversity promoting (ADP) regularizer to encourage the diversity, which leads to globally better robustness for the ensemble by making adversarial examples difficult to transfer among individual members. Our method is computationally efficient and compatible with the defense methods acting on individual networks. Empirical results on various datasets verify that our method can improve adversarial robustness while maintaining state-of-the-art accuracy on normal examples.
研究の動機と目的
- エン ensemble モデルの robustness の課題を、単一ネットワーク defenses を超えて動機づける。
- 対覚醒設定(非最大予測)に適した新しい ensemble 多様性指標を定義する。
- adaptive diversity promoting (ADP) regularizer を、 ensemble のエントロピーと多様性項を組み合わせて開発する。
- ADP トレーニングが、効率的な計算と既存の defenses との互換性を保ちながら、より強力な ensemble の robust をもたらすことを示す。
提案手法
- ensemble の多様性を、正規化された非最大予測の Gram 行列の行列式として定義する。
- two terms: ensemble entropy and log-determinant of diversity (LED) を用いた ADP 正則化項を導入する。
- ECE 損失と ADP 正則化項を組み合わせた augmented objective で、全ての ensemble メンバーを共同訓練する。
- ハイパーパラメータ alpha(エントロピー)と beta(LED)が最適解に与える影響を示す理論的分析を提供する。
- MNIST、CIFAR-10、CIFAR-100 での実験を通じて、対抗攻撃と他の defenses との互換性を実証する。
実験結果
リサーチクエスチョン
- RQ1 ensemble の非最大予測間の多様性を促進することは、アンサンブルの転送可能性を低下させるか?
- RQ2クリーンデータでの精度を損なうことなく、ADP 正則化子はどのように設計されるべきか?
- RQ3最適予測を形作る上で、 ensemble entropy と LED 項の理論的役割は何か?
- RQ4ADP アプローチは個々のネットワークに作用する defenses との互換性を保ちつつ、スケーラブルか?
- RQ5標準ベンチマークにおける一般的な white-box 対向攻撃下で、ADP はどう機能するか?
主な発見
- ADP トレーニングは、MNIST、CIFAR-10、CIFAR-100 に対する FGSM、BIM、PGD、MIM、JSMA、C&W、EAD などの一連の攻撃に対して ensemble の robust を著しく向上させる。
- 正常データに対する ensemble の精度は維持または向上し、個々のネットワークはベースラインと比較して誤差率が高くなる場合がある。
- 非最大予測はより多様になり、t-SNE で示されるように ensemble メンバー間の特徴分布が視覚的に分岐する。
- ADP は計算的に効率的であり(大きな K の場合は約 10% 遅くなる程度)、対抗トレーニングなど他の防御と直交する防御として互換性がある。
- LED 成分だけでは ensemble entropy 項がないと正則化に失敗する可能性があり、効果的な最適化には両方の成分が必要であることを示す。
- 系の系『コロラリー』は、(L−1) が K で割り切れる場合、非最大予測を互いに直交させることができ、構造化された多様性につながる。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。