[論文レビュー] On the Convergence and Robustness of Adversarial Training
対立的学習における内側最大化の収束基準として FOSC を導入し、敵対的強度を徐々に高める動的訓練戦略を提案。頑健性を向上させ、収束性の理論的保証と広範な実験を提供。
Improving the robustness of deep neural networks (DNNs) to adversarial examples is an important yet challenging problem for secure deep learning. Across existing defense techniques, adversarial training with Projected Gradient Decent (PGD) is amongst the most effective. Adversarial training solves a min-max optimization problem, with the extit{inner maximization} generating adversarial examples by maximizing the classification loss, and the extit{outer minimization} finding model parameters by minimizing the loss on adversarial examples generated from the inner maximization. A criterion that measures how well the inner maximization is solved is therefore crucial for adversarial training. In this paper, we propose such a criterion, namely First-Order Stationary Condition for constrained optimization (FOSC), to quantitatively evaluate the convergence quality of adversarial examples found in the inner maximization. With FOSC, we find that to ensure better robustness, it is essential to use adversarial examples with better convergence quality at the extit{later stages} of training. Yet at the early stages, high convergence quality adversarial examples are not necessary and may even lead to poor robustness. Based on these observations, we propose a extit{dynamic} training strategy to gradually increase the convergence quality of the generated adversarial examples, which significantly improves the robustness of adversarial training. Our theoretical and empirical results show the effectiveness of the proposed method.
研究の動機と目的
- 敵対的学習における内側最大化の収束に対して定量的基準を設ける必要性を動機付ける。
- アフィン不変な測度としての FOSC を導入する。
- 訓練中に敵対的強度を徐々に増加させることが頑健性を高めることを実証する。
- 提案する動的トレーニング戦略に対する理論的収束保証を提供する。
- MNIST および CIFAR-10 に対して最先端の防御法と比べて提案手法を実証的に検証する。
提案手法
- ε-ボール上の内側最大化を含む min-max 問題として敵対的訓練目的を定義する。
- 制約付き最適化の1階の停留条件である FOSC を内側最大化の収束基準として提案する。
- FOSC の閉形式表現と摂動および勾配との関係を示し、FOSC が小さくなるほどより強い敵対例に対応することを示す。
- 訓練エポックとともに FOSC の閾値を徐々に低下させる動的な敵対訓練アルゴリズムを提案する。
- 内側最大化誤差に関連する delta 精度まで、1次停留点へのサブ線形収束を示す収束解析を提供する。
- MNIST および CIFAR-10 で WideResNet 設定を含む Dynamic 訓練を Standard および Curriculum 敵対訓練と実験的に比較する。
実験結果
リサーチクエスチョン
- RQ1敵対的訓練における内側最大化の収束品質をどのように定量化できるか。
- RQ2FOSC は敵対的強さと下流の頑健性の信頼できる指標となるか。
- RQ3時間とともに敵対的強度を増やすダイナミック・カリキュラムは、固定強度の PGD 敵対訓練と比べて頑健性を向上させるか。
- RQ4提案された動的敵対訓練アプローチの理論的収束保証は何か。
- RQ5より大容量のネットワークを含む MNIST および CIFAR-10 で、ホワイトボックス攻撃およびブラックボックス攻撃に対するダイナミック敵対訓練の性能はどうか。
主な発見
| 防御 | MNIST クリーン | MNIST FGSM | MNIST PGD-10 | MNIST PGD-20 | MNIST C&W ∞ | CIFAR-10 クリーン | CIFAR-10 FGSM | CIFAR-10 PGD-10 | CIFAR-10 PGD-20 | CIFAR-10 C&W ∞ |
|---|---|---|---|---|---|---|---|---|---|---|
| Unsecured | 99.20 | 14.04 | 0.0 | 0.0 | 0.0 | 89.39 | 2.2 | 0.0 | 0.0 | 0.0 |
| Standard | 97.61 | 94.71 | 91.21 | 90.62 | 91.03 | 66.31 | 48.65 | 44.39 | 40.02 | 36.33 |
| Curriculum | 98.62 | 95.51 | 91.24 | 90.65 | 91.12 | 72.40 | 50.47 | 45.54 | 40.12 | 35.77 |
| Dynamic | 97.96 | 95.34 | 91.63 | 91.27 | 91.47 | 72.17 | 52.81 | 48.06 | 42.40 | 37.26 |
- FOSC は敵対的強度と線形に相関する(FOSC が小さくなると精度が低下し損失が増加)。
- 訓練後半に収束品質の高い敵対的例を用いる訓練は頑健性を高める。一方、初期段階で高収束の敵対的例を用いる訓練は頑健性を傷つける可能性がある。
- FOSC閾値を徐々に厳しくする動的敵対訓練は、標準のPGD敵対訓練より頑健性を大きく改善し、特に CIFAR-10 で顕著である。
- 理論分析は、内側最大化の精度(delta)で決定される delta 精度まで、1次停留点へサブ線形収束することを示す。
- 実証結果は、Dynamic 訓練がMNISTおよびCIFAR-10で強力なホワイトボックスおよびブラックボックス頑健性を達成し、CIFAR-10とWideResNetアーキテクチャで顕著な向上を示す。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。