Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Theoretically Principled Trade-off between Robustness and Accuracy

Hongyang Zhang, Yaodong Yu|arXiv (Cornell University)|Jan 24, 2019
Adversarial Robustness in Machine Learning参考文献 68被引用数 919
ひとこと要約

本研究は堅牢性エラーを自然エラーと境界エラーに分解し、分類キャリブレーションされた損失を用いて厳密な代替境界を導出し、敵対的ロバスト性と自然精度をバランスさせるTRADESを導入し、強力な実証結果を示す。

ABSTRACT

We identify a trade-off between robustness and accuracy that serves as a guiding principle in the design of defenses against adversarial examples. Although this problem has been widely studied empirically, much remains unknown concerning the theory underlying this trade-off. In this work, we decompose the prediction error for adversarial examples (robust error) as the sum of the natural (classification) error and boundary error, and provide a differentiable upper bound using the theory of classification-calibrated loss, which is shown to be the tightest possible upper bound uniform over all probability distributions and measurable predictors. Inspired by our theoretical analysis, we also design a new defense method, TRADES, to trade adversarial robustness off against accuracy. Our proposed algorithm performs well experimentally in real-world datasets. The methodology is the foundation of our entry to the NeurIPS 2018 Adversarial Vision Challenge in which we won the 1st place out of ~2,000 submissions, surpassing the runner-up approach by $11.41\%$ in terms of mean $\ell_2$ perturbation distance.

研究の動機と目的

  • 対向攻撃分類における頑健性と精度のトレードオフを動機づけ、形式化する。
  • 頑健エラーを自然エラーと境界エラーに分解し、代替損失を用いてそれを界限づける。
  • 分類キャリブレーションされた理論的枠組みを提供し、厳密な上界と下界を示す。
  • 自然精度と頑健性のトレードオフを最適化する防御法(TRADES)を設計・評価する。

提案手法

  • 対向摂動に対する頑健エラーと自然エラー、および境界項を定義する。
  • 分類キャリブレーションされた代替損失を用いて頑健性関連のエラーの微分可能な上界を導出する。
  • 自然精度と境界誘発頑健性をトレードオフする最適化目的(TRADES)を提案する。
  • 代替リスク境界をλという調整可能な正則化パラメータを介して実際の訓練手順に関連付ける。
  • キャリブレートされた損失を用いた多クラス設定への拡張と交互勾配訓練法(Algorithm 1)を提供する。
  • 先行する頑健最適化および正則化ベース防御への接続を論理的・経験的に比較・議論する。

実験結果

リサーチクエスチョン

  • RQ1対向摂動に対する頑健性を分類の標準精度と理論的に関連付けることはできるか。
  • RQ2頑健エラーを自然エラーと境界エラーに分解し、厳密で微分可能な境界を持つ境界を提供できるか。
  • RQ3分類キャリブレーションされた代替損失が頑健性と精度のトレードオフをどのように境界づけるか。
  • RQ4これらの界を動機づける訓練目的(TRADES)は、既存の防御と比較して精度を損なうことなく頑健性を改善するか。
  • RQ5提案手法は大規模データセットへどの程度スケールし、多クラス問題へどのように拡張できるか。

主な発見

  • 頑健エラーは自然エラーと境界エラーの和に等しい。
  • 分類キャリブレーションされた損失とψ変換により、両項の微分可能で厳密な上界が、分布と予測器に対して一様に存在する。
  • TRADESは自然リスクと頑健性正則化項をバランスさせる代替目的を最適化し、精度を維持しつつ頑健性を向上させる。
  • 実験結果は、白箱・黒箱の脅威下で、CIFAR10などで複数の既存防御より高い頑健精度を達成することを示している。
  • MNISTとCIFAR10でλを調整すると、期待される頑健性-精度のトレードオフが見られ、1/λの増加はある程度自然精度を犠牲にしてでも頑健精度を高めることを示す;TRADESはNeurIPS 2018 Adversarial Vision Challengeで高い成績を示した(1位)。
  • 理論的境界は、一般的な代替損失(例:ヒンジ、ロジスティック、交差エントロピー)に対して合理的条件下で厳密であることが示される。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。