Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Better Diffusion Models Further Improve Adversarial Training

Zekai Wang, Tianyu Pang|arXiv (Cornell University)|2023. 02. 09.
Adversarial Robustness in Machine Learning인용 수 53
한 줄 요약

그 논문은 최신 확산 모델 EDM을 사용한 학습 데이터 생성이 외부 데이터 없이 RobustBench에서 최첨단 강건 정확도(state-of-the-art robust accuracy)를 달성하도록 적대적 학습(adversarial training)을 크게 향상시킨다는 것을 보여준다.

ABSTRACT

It has been recognized that the data generated by the denoising diffusion probabilistic model (DDPM) improves adversarial training. After two years of rapid development in diffusion models, a question naturally arises: can better diffusion models further improve adversarial training? This paper gives an affirmative answer by employing the most recent diffusion model which has higher efficiency ($\sim 20$ sampling steps) and image quality (lower FID score) compared with DDPM. Our adversarially trained models achieve state-of-the-art performance on RobustBench using only generated data (no external datasets). Under the $\ell_\infty$-norm threat model with $ε=8/255$, our models achieve $70.69\%$ and $42.67\%$ robust accuracy on CIFAR-10 and CIFAR-100, respectively, i.e. improving upon previous state-of-the-art models by $+4.58\%$ and $+8.03\%$. Under the $\ell_2$-norm threat model with $ε=128/255$, our models achieve $84.86\%$ on CIFAR-10 ($+4.44\%$). These results also beat previous works that use external data. We also provide compelling results on the SVHN and TinyImageNet datasets. Our code is available at https://github.com/wzekai99/DM-Improves-AT.

연구 동기 및 목표

  • 더 높은 품질의 확산 모델(EDM)이 외부 데이터 없이 적대적 학습 성능을 향상시키는지 입증한다.
  • 생성 데이터의 양, 품질 및 학습 전략이 강건성과 깨끗한 정확도에 미치는 영향을 정량적으로 분석한다.
  • 조기 중지, 데이터 증강 및 샘플링 단계에 대한 연구를 통해 강건성 메커니즘을 이해한다.

제안 방법

  • DDPM으로 생성된 데이터를 적대적 학습에서 클래스 조건부 EDM 생성 데이터로 교체한다.
  • 다양한 데이터셋에 대해 다양한 beta 값으로 조정된 AT 프레임워크로 TRADES를 사용한다.
  • EDM으로 100만~5천만 장의 이미지를 생성하고, 클래스별 상위 샘플을 선택하거나 대량 생성될 때는 모든 데이터를 사용한다.
  • AutoAttack으로 강건성을 평가하고 여러 위협 모델에서의 깨끗한 정확도를 보고한다.
  • 데이터 양, 조기 중지, 증강, 배치 크기 및 샘플링 단계에 대한 광범위한 어블레이션을 수행한다.

실험 결과

연구 질문

  • RQ1EDM 생성 데이터를 통합하는 것이 외부 데이터 없이 DDPM 기반 데이터보다 적대적 학습의 강건 정확도를 향상시키는가?
  • RQ2데이터 양, 조기 중지 및 증강이 EDM 생성 데이터와 상호 작용하여 강건성에 어떤 영향을 주는가?
  • RQ3클래스 조건부 대 무조건부 확산 데이터가 AT 성능에 미치는 영향은 무엇인가?
  • RQ4확산 샘플링 단계 수(그리고 그에 따른 FID)가 강건성 및 깨끗한 정확도에 어떤 영향을 미치는가?

주요 결과

  • EDM 생성 데이터는 외부 데이터 없이 CIFAR-10/ CIFAR-100에서 l_infinity 및 l2 위협 모델 하에서 최첨단 강건 정확도를 달성한다.
  • CIFAR-10의 경우 (l_infinity, epsilon=8/255)에서 WRN-70-16은 50M 생성 이미지 사용 시 강건 정확도 70.69%, 깨끗한 정확도 93.25%에 도달한다.
  • CIFAR-10의 경우 (l2, epsilon=128/255)에서 최적 모델은 84.86%의 강건성 및 95.54%의 깨끗한 정확도를 달성한다.
  • CIFAR-100의 경우 (l_infinity, 8/255)에서 최적 모델은 42.67%의 강건성과 75.22%의 깨끗한 정확도를 달성하며, 외부 데이터 없이 이전의 SOTA를 능가한다.
  • EDM 생성 데이터는 강건한 과적합을 제거하는 데 도움이 되며 DDPM 기반 또는 데이터 생성을 하지 않은 baseline과 비교한 강건-일반화 간격을 감소시킨다.
  • 저FID(예: 20 샘플링 스텝)로의 클래스 조건부 생성은 모든 데이터셋에서 최상의 성능을 낸다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.