QUICK REVIEW

[논문 리뷰] Convergence of Adversarial Training in Overparametrized Neural Networks

Ruiqi Gao, Tianle Cai|arXiv (Cornell University)|2019. 06. 19.

Adversarial Robustness in Machine Learning참고 문헌 59인용 수 55

한 줄 요약

본 논문은 적대적 훈련이 과매개된 네트워크에서 거의 최적의 로버스트 로스를 갖는 네트워크로 수렴하고 로버스트 보간이 더 큰 용량을 필요로 한다는 것을 증명한다.

ABSTRACT

Neural networks are vulnerable to adversarial examples, i.e. inputs that are imperceptibly perturbed from natural data and yet incorrectly classified by the network. Adversarial training, a heuristic form of robust optimization that alternates between minimization and maximization steps, has proven to be among the most successful methods to train networks to be robust against a pre-defined family of perturbations. This paper provides a partial answer to the success of adversarial training, by showing that it converges to a network where the surrogate loss with respect to the the attack algorithm is within $ε$ of the optimal robust loss. Then we show that the optimal robust loss is also close to zero, hence adversarial training finds a robust classifier. The analysis technique leverages recent work on the analysis of neural networks via Neural Tangent Kernel (NTK), combined with motivation from online-learning when the maximization is solved by a heuristic, and the expressiveness of the NTK kernel in the $\ell_\infty$-norm. In addition, we also prove that robust interpolation requires more model capacity, supporting the evidence that adversarial training requires wider networks.

연구 동기 및 목표

실제로 왜 적대적 훈련이 강건한(robust) 분류기를 유도하는지 동기를 제공한다.
넓은 네트워크 regime에서 대리 로버스트 손실의 수렴 보장을 보인다.
RKHS/NTK 관점으로 네트워크 표현력을 로버스트 손실과 연결한다.
로버스트 보간에 대한 용량(VC-차원) 요구를 보여준다.

제안 방법

공격을 나타내는 섭동 함수 A일 때 대리 손실 L_A(W)를 분석한다.
초기화 주변의 볼 B(R) 내에서 사영 경사하강법이 거의 최소의 로버스트 손실에 수렴함을 보인다.
넓은 네트워크와 강건한 분류기의 존재를 NTK 및 RKHS 주장을 사용해 관련시킨다.
평활한 활성화 함수를 가진 2계층 네트워크에 대해 사영 없이 수렴을 보이는 분석을 제공한다.
VC-차원 논거를 통해 로버스트 보간의 용량 하한을 확립한다.

실험 결과

연구 질문

RQ1적대적 훈련이 초기화의 이웃에서 최적의 로버스트 로스에 가까운 로버스트 로스로 수렴할 수 있는가?
RQ2일반적인 공격 섭동 하에서 대리 적대적 손실의 수렴을 넓은 네트워크 폭이 보장하는가?
RQ3로버스트 보간은 표준 보간보다 본질적으로 더 높은 용량을 요구하는가?
RQ4NTK/RKHS 프레임워크가 초기화 근처에서 강건한 분류기의 존재와 근사를 어떻게 설명하는가?

주요 결과

충분한 폭을 갖는 경우 초기화 주변의 볼에서 대리 손실에 대한 projected gradient descent가 최고의 로버스트 로스에 epsilon 이내로 수렴한다.
활성화가 매끄러운 2계층 네트워크는 적대적 학습에서 사영 없이 거의 최적의 로버스트 로스로 수렴한다.
충분히 큰 폭으로 초기화 볼 안에 근사적으로 최소의 로버스트 로스(epsilon)를 달성하는 네트워크가 존재한다.
주어진 가정과 공격 모델하에서 적대적 훈련은 작은 로버스트 학습 로스를 갖는 네트워크를 찾을 수 있다.
로버스트 보간의 VC-차원은 Omega(n d)로 하한되며, 표준 보간에 비해 강건성을 위해 더 큰 용량이 필요함을 시사한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.