Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Verifying Neural Networks with Mixed Integer Programming

Vincent Tjeng, Russ Tedrake|arXiv (Cornell University)|Nov 20, 2017
Adversarial Robustness in Machine Learning参考文献 35被引用数 105
ひとこと要約

この論文は、ReLU や maxpool 層を含む分(piecewise affine)なニューラルネットワークのロバスト性を検証するために混合整数プログラミング(MIP)を用いることを提案しており、敵対的例に対する証明可能な保証を可能にする。MIP を用いた検証は、従来の手法に比べて最大10倍速く、ぼかしのような自然な摂動に対してロバストな入力を同定でき、一部の画像はすべてのぼかしバージョンに対して証明可能に免疫であることが示された。

ABSTRACT

Neural networks have demonstrated considerable success in a wide variety of real-world problems. However, the presence of adversarial examples - slightly perturbed inputs that are misclassified with high confidence - limits our ability to guarantee performance for these networks in safety-critical applications. We demonstrate that, for networks that are piecewise affine (for example, deep networks with ReLU and maxpool units), proving no adversarial example exists - or finding the closest example if one does exist - can be naturally formulated as solving a mixed integer program. Solves for a fully-connected MNIST classifier with three hidden layers can be completed an order of magnitude faster than those of the best existing approach. To address the concern that adversarial examples are irrelevant because pixel-wise attacks are unlikely to happen in natural images, we search for adversaries over a natural class of perturbations written as convolutions with an adversarial blurring kernel. When searching over blurred images, we find that as opposed to pixelwise attacks, some misclassifications are impossible. Even more interestingly, a small fraction of input images are provably robust to blurs: every blurred version of the input is classified with the same, correct label.

研究の動機と目的

  • 安全な応用分野における敵対的例に対する深層ニューラルネットワークのロバスト性を検証する課題に対処すること。
  • 与えられたネットワークと入力に対して、敵対的例が存在するかどうかを証明的に決定できる手法を開発すること。
  • ピクセル単位の摂動を超えて、ぼかしなどのより自然な画像歪みに対しても検証を拡張すること。
  • 小さなピクセル単位の変更だけでなく、一連の自然な摂動に対して証明可能にロバストな入力を同定すること。

提案手法

  • ReLU および maxpool ネットワークのロバスト性検証問題を混合整数計画問題(MIP)として定式化する。
  • MIP を用いて、指定された摂動半径内に敵対的例が存在しないことを証明するか、最も近い敵対的例を特定する。
  • 3層の隠れ層を持つ全結合 MNIST 分類器に MIP 定式化を適用し、従来のアプローチよりも著しく高速な解法時間を達成した。
  • ピクセル単位の摂動を超えて、敵対的ぼかしカーネルを用いた畳み込みを含む敵対的例の探索を拡張する。
  • MIP を用いて、すべてのぼかし入力の空間におけるロバスト性を検証し、すべての摂動に対して正しい分類を維持する入力を同定する。

実験結果

リサーチクエスチョン

  • RQ1混合整数プログラミングは、ReLU をベースとするニューラルネットワークのロバスト性検証に効果的に適用可能か?
  • RQ2MIP を用いた検証は、既存の検証手法と比較して速度とスケーラビリティにおいてどう異なるか?
  • RQ3任意のピクセル単位の変更ではなく、ぼかしなどの自然な摂動を考慮した場合、敵対的例は意味を持つのか?
  • RQ4すべてのぼかしバージョンに対して証明可能にロバストな入力を同定できるか?
  • RQ5データセット内の入力の何パーセントが自然なぼかし摂動に対してロバストであり、どのような条件下でそうなるか?

主な発見

  • 3層の隠れ層を持つ全結合 MNIST ネットワークにおける MIP を用いた検証は、最良の既存手法に比べて10倍以上高速である。
  • ぼかし画像の空間を探索する際、ネットワークの構造と摂動の性質のおかげで、一部の誤分類は証明可能に不可能である。
  • MNIST 入力のわずかではあるが非ゼロの割合が、すべてのぼかしバージョンに対して証明可能にロバストであり、すべてのぼかし変種が正しく分類されることを示した。
  • この手法は、敵対的ぼかしカーネルによる畳み込み摂動の下でも正しいラベルを維持する入力を効果的に同定できた。
  • 結果から、制約のないピクセル単位の攻撃とは異なり、自然な摂動に対する敵対的例はより少なく、より構造的であることが示唆された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。