Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Radioactive data: tracing through training

Alexandre Sablayrolles, Matthijs Douze|arXiv (Cornell University)|Feb 3, 2020
Adversarial Robustness in Machine Learning参考文献 38被引用数 33
ひとこと要約

この論文は放射性データを導入し、訓練データに不可視な痕跡を刻む方法を提案する。これにより、それを用いて訓練されたモデルは統計的に特定可能となり、データのわずか1%がマークされていてもp値が1e-4程度まで低下する。

ABSTRACT

We want to detect whether a particular image dataset has been used to train a model. We propose a new technique, \emph{radioactive data}, that makes imperceptible changes to this dataset such that any model trained on it will bear an identifiable mark. The mark is robust to strong variations such as different architectures or optimization methods. Given a trained model, our technique detects the use of radioactive data and provides a level of confidence (p-value). Our experiments on large-scale benchmarks (Imagenet), using standard architectures (Resnet-18, VGG-16, Densenet-121) and training procedures, show that we can detect usage of radioactive data with high confidence (p<10^-4) even when only 1% of the data used to trained our model is radioactive. Our method is robust to data augmentation and the stochasticity of deep network optimization. As a result, it offers a much higher signal-to-noise ratio than data poisoning and backdoor methods.

研究の動機と目的

  • データセットがモデルの訓練に使用されたかを統計的保証付きで追跡可能にする。
  • タスク性能を保持し、訓練の変動に頑健なデータマーキング技術を開発する。
  • 放射性データの使用を識別するためのホワイトボックスおよびブラックボックス検出手法の提供。

提案手法

  • 分類層の前の潜在空間にクラス特異の付加マーク(データ同位体)を導入する。
  • マークを画像ピクセルにバックプロパゲーションして、肉眼で知覚できない変更を作成する(PSNR約42 dB)。
  • ホワイトボックス設定では、φネットワーク間で特徴抽出子のサブ空間を線形写像Mと回帰を用いて整列させる。
  • キャリア方向uと学習済み分類器とのコサイン類似度を用いて、β不完全分布を用いた放射性データの検出をテストする。
  • 複数クラスをマーキングする場合、Fisher法で複数のp値を結合する。
  • マークされたサンプルと通常サンプルを比較するか、蒸留された学生モデルを用いてブラックボックス検出を提供。

実験結果

リサーチクエスチョン

  • RQ1データセットを不可視の変化でマークして、アーキテクチャやオプティマの異なる訓練を通じてその痕跡が残るか?
  • RQ2学習済み分類器(または潜在空間)に対する統計的検定は、マークされたデータの存在を高い信頼度で検出できるか?
  • RQ3データ拡張、アーキテクチャ移行、スクラッチからの訓練に対して、マーキング手法はどれくらい頑健か?
  • RQ4検出可能なp値を持つ放射性データを検出するために、必要な最小のマーク済みデータの割合はどれくらいか?
  • RQ5検出性と頑健性において、バックドア・データポイズニング手法と比べてどのようか。

主な発見

  • 放射性マークは、訓練データのわずか1%がマークされている場合でも高い信頼性で検出できる(p < 1e-4)。
  • データ拡張や確率的訓練手順に対して、アーキテクチャを跨ぐ頑健性を持つ(ResNet-18、ResNet-50、VGG-16、DenseNet-121)。
  • 1%のデータがマークされている場合、マークはモデル精度を約±0.1%の範囲で保持する。
  • ホワイトボックスとブラックボックス検出は実現可能で、ホワイトボックスはしばしばより強い信号を与え、センタークロップ拡張が検出性を高める。
  • 異なるデータセットやアーキテクチャへの移行でも強い検出信号を得られる(Places205のマーキングでImagenet前訓練マーキングを用いると、データの10%超がマークされている場合に放射性が検出可能)。
  • アブレーション解析は、マークが分類子をキャリア方向に沿って整列させる一方、意味情報方向が依然影響力を持つことを示し、精度低下が限られる理由を説明する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。