Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Certifying Some Distributional Robustness with Principled Adversarial Training

Aman Sinha, Hongseok Namkoong|arXiv (Cornell University)|2017. 10. 29.
Adversarial Robustness in Machine Learning참고 문헌 64인용 수 345
한 줄 요약

본 논문은 Wasserstein balls와 Lagrangian surrogate를 사용한 distributionally robust optimization 프레임워크를 제시하여 principled adversarial training을 구현하고, 매끄러운 손실에 대한 수렴 보장과 강건성 인증서를 제공합니다.

ABSTRACT

Neural networks are vulnerable to adversarial examples and researchers have proposed many heuristic attack and defense mechanisms. We address this problem through the principled lens of distributionally robust optimization, which guarantees performance under adversarial input perturbations. By considering a Lagrangian penalty formulation of perturbing the underlying data distribution in a Wasserstein ball, we provide a training procedure that augments model parameter updates with worst-case perturbations of training data. For smooth losses, our procedure provably achieves moderate levels of robustness with little computational or statistical cost relative to empirical risk minimization. Furthermore, our statistical guarantees allow us to efficiently certify robustness for the population loss. For imperceptible perturbations, our method matches or outperforms heuristic approaches.

연구 동기 및 목표

  • 신경망에서 분포 변화와 적대적 섭동에 대한 강건성에 대한 동기를 부여한다.
  • 최악의 경우의 섭동으로 모델 업데이트를 보강하는 효율적인 학습 절차를 개발한다.
  • 모집단 손실에 대한 수렴 보장과 강건성 인증서를 제공한다.
  • 매끄러운 손실 함수를 갖는 지각하기 어려운 섭동에 대한 실용적인 강건성 보장을 가능하게 한다.

제안 방법

  • θ에 대해, Wasserstein 구 안의 P에 대한 기대 손실의 최댓값을 최소화하는 분포강건 최적화 문제를 형식화한다.
  • 제약된 문제를 robust surrogate로 대체하기 위해 라그랑주 이완을 사용한다 φγ(θ; z0)=supz{ℓ(θ; z)−γ c(z, z0)}.
  • 매끄러운 손실을 갖고 γ가 충분히 크면 내부 최대화가 z에 대해 강하게 오목해 최적화가 용이하다는 것을 보여준다.
  • 데이터 의존적 강건성 인증서를 제공하여 최악의 경우 모집단 손실을 상한한다.
  • 내부 루프에서 z를 샘플링하고 z에 대해 근사적으로 최대화하는 것을 교대로 수행한 다음 매개변수를 업데이트하는 확률적 경사 학습 알고리즘(Algorithm 1)을 제안한다.
  • γ≥Lzz인 경우 비볼록 손실 설정에 대한 수렴 보장을 확립하고, 속도는 표준 SGD와 유사한 영향이 있다.

실험 결과

연구 질문

  • RQ1Wasserstein 기반의 분포강건 프레임워크가 적대적 섭동 하에서 신경망에 대해 증명 가능한 강건성 보장을 제공할 수 있는가?
  • RQ2특히 매끄러운 손실에 대해 φγ(θ; z0)라는 견고한 대리자를 실제로 효율적으로 계산하고 최적화할 수 있는 방법은 무엇인가?
  • RQ3제안된 페널티 기반 강건 최적화에 대해 어떤 수렴 보장과 강건성 인증서를 확립할 수 있는가?
  • RQ4경험적 결과가 지각하기 어려운 섭동에 대한 방어를 보여주고 적대적 공격 하에서 경쟁력 있는 성능을 보이는가?

주요 결과

  • 강건 대리자 φγ(θ; z0)는 미분 가능하고 계산 가능한 기울기를 가지므로 실질적인 훈련이 가능하다.
  • 매끄러운 손실과 충분히 큰 γ에 대해 내부 최대화는 z에 대해 강하게 오목해 최적화가 용이하다.
  • 제안된 방법은 비볼록 손실에 대해 표준 SGD와 유사한 속도로 수렴 보장을 달성한다.
  • 이 프레임워크는 Wasserstein 이웃에서의 최악의 손실에 대해 효율적으로 계산 가능하고 데이터 의존적인 상한(인증서)을 제공한다.
  • 실험적으로 이 방법은 지각 불가한 적대적 섭동에 대한 방어에 효과적이며 여러 공격에서 최첨단 성능에 필적하거나 이를 능가한다.
  • 런타임 분석에 따르면 이 방법은 ERM보다 대략 5–10배 더 오래 걸리지만 여전히 실용적이며 다른 적대적 학습 방법과 경쟁력이 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.