Skip to main content
QUICK REVIEW

[論文レビュー] Learning to Generate Noise for Robustness against Multiple Perturbations.

Divyam Madaan, Jinwoo Shin|arXiv (Cornell University)|Jun 22, 2020
Adversarial Robustness in Machine Learning参考文献 29被引用数 4
ひとこと要約

本論文では、複数の摂動タイプを同時に効果的に防ぐために、敵対的ノイズを生成するメタラーニングフレームワーク「メタノイズジェネレータ(MNG)」を提案する。訓練中に攻撃をランダムにサンプリングすることで、すべての摂動タイプを同時に統合学習するのと比較して、最小限の計算コストで多様な未知の摂動に対して優れた防御性能を達成する。

ABSTRACT

Adversarial learning has emerged as one of the successful techniques to circumvent the susceptibility of existing methods against adversarial perturbations. However, the majority of existing defense methods are tailored to defend against a single category of adversarial perturbation (e.g. $\ell_\infty$-attack). In safety-critical applications, this makes these methods extraneous as the attacker can adopt diverse adversaries to deceive the system. To tackle this challenge of robustness against multiple perturbations, we propose a novel meta-learning framework that explicitly learns to generate noise to improve the model's robustness against multiple types of attacks. Specifically, we propose Meta Noise Generator (MNG) that outputs optimal noise to stochastically perturb a given sample, such that it helps lower the error on diverse adversarial perturbations. However, training on multiple perturbations simultaneously significantly increases the computational overhead during training. To address this issue, we train our MNG while randomly sampling an attack at each epoch, which incurs negligible overhead over standard adversarial training. We validate the robustness of our framework on various datasets and against a wide variety of unseen perturbations, demonstrating that it significantly outperforms the relevant baselines across multiple perturbations with marginal computational cost compared to the multiple perturbations training.

研究の動機と目的

  • 既存の防御手法が単一の敵対的摂動タイプに対してのみ有効であるという限界を解消すること。
  • 攻撃者が多様な摂動戦略を用いる可能性がある安全上の重要な応用分野における耐性を向上させること。
  • 複数の攻撃タイプにまたがる未知の摂動タイプに対しても一般化可能な防御フレームワークを開発すること。
  • 複数の摂動タイプに対する耐性を維持しつつ、訓練時の計算コストを削減すること。

提案手法

  • 提案されたメタノイズジェネレータ(MNG)は、入力サンプルを確率的に摂動させることで耐性を向上させる最適なノイズを学習して生成する。
  • MNGは、各訓練エポックで異なる攻撃がランダムにサンプリングされるメタラーニングの枠組みで訓練される。
  • ノイズ生成によってモデルの予測を安定化させることで、多様な敵対的摂動に対して誤差を低減するように最適化される。
  • ノイズ生成は微分可能であり、標準的なバックプロパゲーションを用いたエンドツーエンドの訓練が可能である。
  • すべての摂動タイプを同時に統合学習するのを避けることで、計算コストの増加を抑える。
  • 訓練中に攻撃をランダムにサンプリングすることで、多摂動耐性を効率的にシミュレートする。

実験結果

リサーチクエスチョン

  • RQ1単一の防御フレームワークが、複数の多様な敵対的摂動タイプに対して耐性を示せるか。
  • RQ2メタラーニングに基づくノイズジェネレータの性能は、複数の摂動タイプに対して標準的な敵対的訓練と比べてどうか。
  • RQ3本手法を用いて複数の摂動タイプに対処するモデルを訓練する際の計算コストは、統合学習と比べてどの程度か。
  • RQ4MNGで訓練されたモデルは、訓練時に見られなかった未知の摂動タイプに対しても一般化できるか。
  • RQ5訓練中に攻撃をランダムにサンプリングすることで、複数の摂動タイプに対する耐性を効果的にシミュレートできるか。

主な発見

  • MNGフレームワークは、複数の摂動タイプに対して、既存のベースラインを著しく上回る耐性を示す。
  • 訓練時に含まれなかった未知の摂動に対しても強力な防御性能を達成し、一般化能力を示している。
  • すべての摂動タイプを同時に学習するのと比較して、MNGの計算コストはほとんど無視できる。
  • 訓練中に攻撃をランダムにサンプリングすることで、計算コストをほとんど増加させずに複数の摂動タイプに対する耐性を効果的に実現できる。
  • 訓練分布に含まれない摂動に対しても、フレームワークは高い耐性を維持している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。