Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] MMA Training: Direct Input Space Margin Maximization through Adversarial Training

Gavin Weiguang Ding, Yash Sharma|arXiv (Cornell University)|Dec 6, 2018
Adversarial Robustness in Machine Learning参考文献 28被引用数 95
ひとこと要約

MMAトレーニングは各データ点ごとに摂動半径を適応させることで、サンプルごとの入力空間マージンを直接最大化し、マージン最大化と敵対的ロバスト性を結びつける。

ABSTRACT

We study adversarial robustness of neural networks from a margin maximization perspective, where margins are defined as the distances from inputs to a classifier's decision boundary. Our study shows that maximizing margins can be achieved by minimizing the adversarial loss on the decision boundary at the "shortest successful perturbation", demonstrating a close connection between adversarial losses and the margins. We propose Max-Margin Adversarial (MMA) training to directly maximize the margins to achieve adversarial robustness. Instead of adversarial training with a fixed $ε$, MMA offers an improvement by enabling adaptive selection of the "correct" $ε$ as the margin individually for each datapoint. In addition, we rigorously analyze adversarial training with the perspective of margin maximization, and provide an alternative interpretation for adversarial training, maximizing either a lower or an upper bound of the margins. Our experiments empirically confirm our theory and demonstrate MMA training's efficacy on the MNIST and CIFAR10 datasets w.r.t. $\ell_\infty$ and $\ell_2$ robustness. Code and models are available at https://github.com/BorealisAI/mma_training.

研究の動機と目的

  • 入力空間マージンを、入力と分類器決定境界との距離として定義し、マージン最大化を敵対的損失に結びつける。
  • 各データ点ごとに適応的なεを用いて、サンプルあたりのマージンを最大化する Max-Margin Adversarial (MMA) トレーニングを提案。
  • 最短の成功摂動での損失を最小化することによりマージン最大化が達成でき、勾配法ベースの最適化を可能にする。
  • ℓ∞およびℓ2摂動の下で、MNISTおよびCIFAR-10での実験を通じて、マージン最大化の観点から敵対的トレーニングの理論分析を提供し、検証する。

提案手法

  • マージン d_theta(x,y) を、分類器の決定を変えるのに必要な最小摂動として定義する。
  • 訓練を安定化させるため、ログitマージン損失の滑らかな代理として soft logit margin loss L_SLM を用いる。
  • ダ_max の閾値 d_max までマージンを最大化しつつ、誤分類点の分類損失を最小化する MMA 目的を提案する。
  • モデルパラメータに関するマージンの勾配が、最短の成功摂動での損失勾配に比例することを示す。
  • マージンの計算と更新に用いられる最短の成功摂動 delta*を近似するため、Adaptive Norm Projection Gradient Descent (AN-PGD) を採用する。
  • 訓練を安定化させるため、クリーンな例の損失項を追加する L_CB を組み合わせた損失をオプションで含める。

実験結果

リサーチクエスチョン

  • RQ1MMA による各例の入力空間マージンを最大化することは、固定 ε の敵対的トレーニングと比較して敵対的ロバスト性を改善するか?
  • RQ2各例ごとにマージン閾値 d_max の適応的選択は、精度とロバスト性の間でより良いトレードオフをもたらすか?
  • RQ3補助損失を使用する場合を含め、マージン最大化の観点から標準的な敵対的トレーニングとMMAはどのように関連するか?
  • RQ4MNISTやCIFAR-10のようなデータセットで、ℓ∞およびℓ2摂動の両方に対してMMAで訓練したモデルはロバストか?
  • RQ5マージンが明示的に最適化され、固定摂動防御ではない場合、どのような学習ダイナミクスが現れるか?

主な発見

  • MMAトレーニングは訓練データ全体でマージンを拡大し、固定εの敵対的トレーニングでは小さなマージンが残る可能性がある。
  • MMA は、さまざまな攻撃の大きさにわたって平均的により高いロバスト性を達成し、精度とバランスを取りつつ、ハイパーパラメータ依存を敏感にしない。
  • 理論分析は敵対的トレーニングをマージン最大化へ結びつけ、適応的摂動を介して各サンプルの「正しい」マージンを選択することを示す。
  • ℓ∞およびℓ2の下でのMNISTとCIFAR-10における実証結果は、MMAの競争力のあるロバスト性とマージンベースの目的との整合性を裏付ける。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。