[논문 리뷰] Automatic Perturbation Analysis for Scalable Certified Robustness and Beyond
이 논문은 일반 신경망 그래프에 대한 perturbation 분석을 자동 LiRPA 프레임워크로 일반화하여, 대규모 아키텍처와 데이터셋에서 확장 가능하고 미분 가능하며 loss-fusion–enabled 인증된 강인성을 가능하게 한다.
Linear relaxation based perturbation analysis (LiRPA) for neural networks, which computes provable linear bounds of output neurons given a certain amount of input perturbation, has become a core component in robustness verification and certified defense. The majority of LiRPA-based methods focus on simple feed-forward networks and need particular manual derivations and implementations when extended to other architectures. In this paper, we develop an automatic framework to enable perturbation analysis on any neural network structures, by generalizing existing LiRPA algorithms such as CROWN to operate on general computational graphs. The flexibility, differentiability and ease of use of our framework allow us to obtain state-of-the-art results on LiRPA based certified defense on fairly complicated networks like DenseNet, ResNeXt and Transformer that are not supported by prior works. Our framework also enables loss fusion, a technique that significantly reduces the computational complexity of LiRPA for certified defense. For the first time, we demonstrate LiRPA based certified defense on Tiny ImageNet and Downscaled ImageNet where previous approaches cannot scale to due to the relatively large number of classes. Our work also yields an open-source library for the community to apply LiRPA to areas beyond certified defense without much LiRPA expertise, e.g., we create a neural network with a probably flat optimization landscape by applying LiRPA to network parameters. Our opensource library is available at https://github.com/KaidiXu/auto_LiRPA.
연구 동기 및 목표
- 일반적인 피드포워드 네트워크를 넘어서는 계산 그래프에서 작동하는 자동 perturbation 분석 프레임워크(LiRPA)를 개발한다.
- 복잡한 아키텍처에 대해 인증된 강건성 학습에 적합한 미분 가능하고 확장 가능한 bound를 가능하게 한다.
- LiRPA 계산 비용을 줄이기 위한 loss fusion을 도입하여 대규모 데이터셋과 많은 클래스에서의 학습을 가능하게 한다.
- 강건성 이외의 적용 가능성도 보여주며, Lp 구역 외의 perturbation과 매개변수 공간 분석도 다룬다.
- 아키텍처별 도출 없이 LiRPA를 적용하는 오픈소스 라이브러리(auto_LiRPA)를 제공한다.
제안 방법
- Forward 및 backward bound propagation을 DAG에 대해 수행하여 일반 계산 그래프에 LiRPA를 일반화한다.
- 입력 경계로부터 종속 노드의 경계를 계산하기 위한 forward LiRPA 오랄(G_i)을 정의한다.
- 출력 경계를 선행 노드로 전파하고 A_i 매트릭스를 도출하기 위한 backward LiRPA 오랄(F_i)을 정의한다.
- Lp-구역 및 동의어 기반 단어 치환을 포함한 임의의 perturbation에 대한 선형 경계를 구체화한다.
- 손실/로짓 출력에 대해 직관적으로 강건한 경계를 계산하기 위한 loss fusion을 도입하여 클래스 수에 대한 의존성을 줄인다.
- 다양한 모델과 perturbation 설정에 LiRPA를 적용하기 위한 오픈소스 라이브러리(auto_LiRPA)를 제공한다.
실험 결과
연구 질문
- RQ1LiRPA 경계가 수동 도출 없이 임의의 신경망 아키텍처에 대해 자동으로 도출될 수 있는가?
- RQ2forward 및 backward LiRPA 전파를 결합하여 일반 그래프의 단일 출력 노드에 대한 증명 가능한 경계를 얻을 수 있는가?
- RQ3loss fusion이 LiRPA 연산 부하를 충분히 감소시켜 많은 클래스가 있는 대형 데이터셋으로 확장 가능하게 하는가?
- RQ4DenseNet, ResNeXt, Transformer와 같은 복잡한 아키텍처 및 큰 데이터셋(Tiny ImageNet, Downscaled ImageNet)에서 LiRPA 기반 인증 방어 학습이 효과적으로 가능할까?
- RQ5전통적인 Lp-구역을 넘어서는 perturbation 유형(예: 동의어 치환) 및 매개변수 공간 분석까지 LiRPA 기반 perturbation 분석을 확장할 수 있는가?
주요 결과
- 이 프레임워크는 ε=8/255에서 CIFAR-10에 대해 최첨단 검증된 방어 결과를 달성하며, 검증 오차 66.62%를 보고한다.
- Manual 도출 없이 DenseNet, ResNeXt, Transformer 아키텍처에서 LiRPA 기반 인증 방어 학습을 가능하게 한다.
- Loss fusion은 LiRPA 학습 비용을 CIFAR-10 및 Tiny ImageNet에서 자연 학습의 3-4배 느린 수준으로 감소시켜 큰 클래스 수(200/1000)로의 확장을 가능하게 한다.
- Tiny ImageNet 및 Downscaled ImageNet에서 LiRPA 기반의 인증 방어를 처음으로 제공하여 수십에서 수천 개의 클래스가 있는 데이터셋으로의 확장성을 보여준다.
- 매개변수에 대한 perturbation 분석을 가능하게 하고 비-Lp perturbations(예: 동의어 기반 NLP perturbations)에 대한 프레임워크를 제공하는 등 LiRPA의 더 넓은 활용 가능성을 입증한다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.