Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Adversarially Robust Generalization Just Requires More Unlabeled Data

Runtian Zhai, Tianle Cai|arXiv (Cornell University)|2019. 06. 03.
Adversarial Robustness in Machine Learning참고 문헌 48인용 수 90
한 줄 요약

논문은 라벨이 없는 데이터를 증가시키면 적대적으로 강건한 일반화를 향상시킬 수 있음을 증명하고, unlabeled 데이터를 활용해 MNIST와 CIFAR-10에서 강건성을 높이는 반지도학(adversarial) 훈련 방법을 소개한다.

ABSTRACT

Neural network robustness has recently been highlighted by the existence of adversarial examples. Many previous works show that the learned networks do not perform well on perturbed test data, and significantly more labeled data is required to achieve adversarially robust generalization. In this paper, we theoretically and empirically show that with just more unlabeled data, we can learn a model with better adversarially robust generalization. The key insight of our results is based on a risk decomposition theorem, in which the expected robust risk is separated into two parts: the stability part which measures the prediction stability in the presence of perturbations, and the accuracy part which evaluates the standard classification accuracy. As the stability part does not depend on any label information, we can optimize this part using unlabeled data. We further prove that for a specific Gaussian mixture problem, adversarially robust generalization can be almost as easy as the standard generalization in supervised learning if a sufficiently large amount of unlabeled data is provided. Inspired by the theoretical findings, we further show that a practical adversarial training algorithm that leverages unlabeled data can improve adversarial robust generalization on MNIST and Cifar-10.

연구 동기 및 목표

  • 적대적 강건성 연구와 일반화 향상에서 라벨이 없는 데이터의 역할에 관한 연구를 동기부여한다.
  • 강건 리스크를 안정성 용어( unlabeled data dependent )와 정확도 용어( 라벨 필요 )로 분해한다.
  • 일반 리스크 경계와 충분한 라벨 없는 데이터에서 표준 일반화와 동등한 강건성을 보일 수 있음을 보이는 가우시안 혼합 예제를 포함한 이론적 결과를 제공한다.
  • 레이블이 있는 데이터와 라벨 없는 데이터를 활용해 강건 일반화를 향상시키는 실용적 SSL 기반의 적대적 훈련 알고리즘을 개발하고 검증한다.

제안 방법

  • 위험 분해를 제시한다: RRobust ≤ E_x sup_{x' in B(x)} I(f(x') ≠ f(x)) + RHat(f) + Rad_S(F) + 3 sqrt(log(2/δ)/(2n)).
  • 첫 번째 항은 P_X에 의해 라벨 없는 데이터에만 의존하고 라벨 없는 데이터로 최소화될 수 있음을 보인다.
  • 충분한 라벨 없는 데이터가 있을 때 강건 일반화가 샘플 복잡도 면에서 표준 일반화와 같아지는 가우시안 혼합 사례를 증명한다.
  • Algorithm 1 (Generalized Virtual Adversarial Training over labeled and unlabeled data)를 제안하고, 라벨링된 강건 훈련에 라벨 없는 일관성/강건성 항을 보강한다.
  • L1을 라벨링 데이터에 대한 강건 훈련으로 정의하고 L2를 의사레이블을 사용한 라벨 없는 데이터의 강건성 목표로 정의하며, LSSL = L1 + λ L2로 결합한다.
  • 실용적인 SSL 목표를 제공하여 VAT를 일반화하고, 더 강력한 섭동을 위해 여러 PGD 스텝(k ≥ 7)을 사용해 강건 일반화를 개선한다.

실험 결과

연구 질문

  • RQ1라벨 없는 데이터가 적대적 일반화에 필요한 라벨 데이터의 양을 줄일 수 있는가?
  • RQ2라벨 없는 데이터를 효과적으로 활용하기 위해 강건성 목표를 어떻게 형식화할 수 있는가?
  • RQ3Gaussian 혼합 모델은 충분한 라벨 없는 데이터에서도 라벨 있는 데이터와 같은 강건성 행동을 보이는가?
  • RQ4라벨링된 데이터와 라벨 없는 데이터를 모두 활용하는 실용 알고리즘이 실제 데이터세트에서 표준 적대적 훈련보다 더 성능을 낼 수 있는가?

주요 결과

행 설명NA trainNA testRA trainRA testDSR
PGD-adv on 5 k98.3198.3896.9596.8998.49
Ours (k=7, lambda=0.1)98.3698.5497.8297.1998.63
Ours (k=7, lambda=0.2)98.4398.5598.1897.2898.71
Ours (k=7, lambda=0.3)98.5698.5698.4697.3198.73
PGD-adv on 10 k98.9198.8397.9697.6498.80
Ours (k=7, lambda=0.1)98.9298.9298.5597.9198.98
Ours (k=7, lambda=0.2)98.9098.8998.7697.9399.03
Ours (k=7, lambda=0.3)98.9398.8798.7798.0199.13
PGD-adv on 5 k61.1860.5732.4030.5450.42
Ours (k=7, lambda=0.1)63.2460.4432.9730.9051.13
Ours (k=7, lambda=0.2)61.7360.7135.2032.9654.29
Ours (k=7, lambda=0.3)61.8860.4635.0733.5455.47
PGD-adv on 10 k78.8073.7945.6037.4850.79
Ours (k=7, lambda=0.1)78.2472.9247.9638.8653.29
Ours (k=7, lambda=0.2)78.7473.1651.2041.1856.29
Ours (k=7, lambda=0.3)78.9573.3552.2442.4857.91
  • 두 항으로 이루어진 상한은 강건 리스크가 안정성 항(라벨 없는 데이터 의존)과 표준 PAC 스타일 항으로 제한된다는 것을 보인다.
  • 가우시안 혼합 설정에서 충분한 라벨 없는 데이터는 샘플 복잡도 측면에서 강건 일반화를 표준 일반화만큼 쉽게 만들어 준다.
  • 실용적인 SSL 알고리즘이 MNIST와 CIFAR-10에서 라벨 데이터만 사용하는 기준선보다 강건한 테스트 정확도를 향상시킨다.
  • 공격의 PGD 스텝 수(k)를 늘리면 라벨 없는 데이터가 사용될 때 강건 일반화가 개선된다.
  • 이 방법은 더 큰 라벨 세트로 훈련된 기준선과 비교하여 방어 성공률이 더 높고 강건한 성능이 경쟁력 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.