Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] MMA Training: Direct Input Space Margin Maximization through Adversarial Training

Gavin Weiguang Ding, Yash Sharma|arXiv (Cornell University)|Dec 6, 2018
Adversarial Robustness in Machine Learning参考文献 34被引用数 40
ひとこと要約

MMA トレーニングは、各データポイントごとに適応的にマージンを選択することにより、入力空間の各サンプルごとのマージンを直接最大化して敵対的ロバスト性を向上させ、標準的な敵対的訓練との関係を分析します。

ABSTRACT

We study adversarial robustness of neural networks from a margin maximization\nperspective, where margins are defined as the distances from inputs to a\nclassifier's decision boundary. Our study shows that maximizing margins can be\nachieved by minimizing the adversarial loss on the decision boundary at the\n"shortest successful perturbation", demonstrating a close connection between\nadversarial losses and the margins. We propose Max-Margin Adversarial (MMA)\ntraining to directly maximize the margins to achieve adversarial robustness.\nInstead of adversarial training with a fixed $\\epsilon$, MMA offers an\nimprovement by enabling adaptive selection of the "correct" $\\epsilon$ as the\nmargin individually for each datapoint. In addition, we rigorously analyze\nadversarial training with the perspective of margin maximization, and provide\nan alternative interpretation for adversarial training, maximizing either a\nlower or an upper bound of the margins. Our experiments empirically confirm our\ntheory and demonstrate MMA training's efficacy on the MNIST and CIFAR10\ndatasets w.r.t. $\\ell_\\infty$ and $\\ell_2$ robustness. Code and models are\navailable at https://github.com/BorealisAI/mma_training.\n

研究の動機と目的

  • マージンを敵対的損失と結びつけることで、マージン最大化の観点からロバスト性を動機づける。
  • Max-Margin Adversarial (MMA)トレーニングを導入し、各サンプルごとのマージンを直接最大化する。
  • ニューラルネットワーク内でマージンを計算・最適化する実行可能な手法を開発する。
  • 従来の敵対的トレーニングとマージン最大化の関係を分析する。
  • MNISTとCIFAR-10におけるℓ∞およびℓ2ロバスト性に対するMMAを経験的に評価する。

提案手法

  • データマージンを、最短の成功摂動による決定境界までの距離として定義する。
  • 最短の成功摂動での分類損失を最小化することでマージンを最大化するMMAトレーニングを提案する。
  • 勾配計算を安定化させ、クロスエントロピー損失と関連づけるために、ソフトロジットマージン損失(SLM)代理を用いる。
  • 最短摂動での損失を最小化するようパラメータを更新することで、マージン最大化が達成されることを示す。
  • 各サンプルに対してδ*を推定するために、近似的な最短摂動解法(AN-PGD)を適用する。
  • 清浄データ損失とMMA損失を組み合わせて訓練を安定化させ、学習の安定性を向上させる。

実験結果

リサーチクエスチョン

  • RQ1ニューラルネットワークにおいて、入力から決定境界へのマージンをロバスト性のためにどのように最大化できるか?
  • RQ2サンプルごとに適応的なマージン最適化は、固定εの敵対的トレーニングより優れているか?
  • RQ3異なるεレジーム下で、敵対的トレーニングはマージン最大化のに関連するか?
  • RQ4MMAトレーニングは、複数の摂動量とデータセットにおいて精度とロバスト性のバランスを取るか?

主な発見

  • MMAトレーニングは全ての訓練点のマージンを拡大し、標準的な固定εの敵対的トレーニングよりも、異なる攻撃長さに対してより安定している。
  • マージンの勾配は、最短の成功摂動における損失勾配に比例する。
  • ソフトロジットマージン損失を用いると、ロジットマージン損失を上界する滑らかな代理となり、クロスエントロピーの勾配と一致する。
  • MMAトレーニングは、精度とロバスト性のバランスを取り、MNISTとCIFAR-10におけるℓ∞およびℓ2で、慎重に調整された敵対的トレーニングおよびアンサンブルの性能に匹敵する。
  • 適応型摂動アプローチ(AN-PGD)は、訓練中の各サンプルに対して最短の成功摺動δ*を推定する。
  • 実際には、クリーン損失とMMA損失を組み合わせることで訓練の安定性とロバスト性が向上する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。