Skip to main content
QUICK REVIEW

[논문 리뷰] Mixup Inference: Better Exploiting Mixup to Defend Adversarial Attacks

Tianyu Pang, Kun Xu|arXiv (Cornell University)|2019. 09. 25.
Adversarial Robustness in Machine Learning참고 문헌 43인용 수 42
한 줄 요약

이 논문은 Mixup Inference(MI)를 제안한다. 이는 mixup으로 학습된 모델의 추론 시 절차로, 전역 선형성을 적극적으로 활용해 적대적 교란을 축소하고 입력의 영향을 전달하여 다양한 위협 모델에서 강인성과 탐지 성능을 향상시킨다.

ABSTRACT

It has been widely recognized that adversarial examples can be easily crafted to fool deep networks, which mainly root from the locally non-linear behavior nearby input examples. Applying mixup in training provides an effective mechanism to improve generalization performance and model robustness against adversarial perturbations, which introduces the globally linear behavior in-between training examples. However, in previous work, the mixup-trained models only passively defend adversarial attacks in inference by directly classifying the inputs, where the induced global linearity is not well exploited. Namely, since the locality of the adversarial perturbations, it would be more efficient to actively break the locality via the globality of the model predictions. Inspired by simple geometric intuition, we develop an inference principle, named mixup inference (MI), for mixup-trained models. MI mixups the input with other random clean samples, which can shrink and transfer the equivalent perturbation if the input is adversarial. Our experiments on CIFAR-10 and CIFAR-100 demonstrate that MI can further improve the adversarial robustness for the models trained by mixup and its variants.

연구 동기 및 목표

  • 추론 시 mixup으로 학습된 모델의 강인성 격차를 동기 부여하고, defense를 위해 그들의 전역 선형성을 활용하고자 한다.
  • 추론 시 clean 샘플과의 혼합으로 입력을 적극적으로 처리하는 Mixup Inference(MI)를 도입한다.
  • 두 가지 MI 변형(MI-PL 및 MI-OL)을 분석하고, 강인성 개선(RIC) 및 탐지 격차(DG)에 대한 이론적 조건을 제시한다.
  • MI가 CIFAR-10/100에서 적대적 강인성을 개선하고 mixup 변형 및 보간된 적대적 학습과의 호환성을 보임을 입증한다.

제안 방법

  • MI는 입력과 clean 샘플의 다중 무작위 혼합을 수행하고 분류기의 출력을 평균화한다(클래스의 몬테카를로 근사 E_{p_s}[F(tilde{x})]).
  • 두 가지 MI 변형: MI-PL은 예측 레이블을 혼합 대상로 사용하고, MI-OL은 다른 레이블을 혼합 대상로 사용한다.
  • 이 접근법은 입력 전달(무작위화된 의미적으로 다양한 교란)과 교란 축소(lambda에 의한 적대적 교란의 축소)의 두 가지 메커니즘에 의존한다.
  • MI가 실제 라벨 점수를 증가시키고 MI 이후 적대적 점수를 감소시키는지를 정량화하기 위한 강인성 개선 조건(RIC)을 정의한다.
  • 탐지 지표(DG)는 MI로 인해 최다 예측 클래스의 변화로 인해 입력이 적대적임을 플래그하는 MI의 능력을 측정하기 위해 정의한다.

실험 결과

연구 질문

  • RQ1Mixup Inference(MI)가 추론 중 mixup으로 학습된 모델의 적대적 강인성을 더 향상시킬 수 있는가?
  • RQ2MI-PL과 MI-OL이 서로 다른 강인성 및 탐지 프로파일을 제공하는가, 어떤 조건에서 강인성 개선 및 탐지 이득 기준을 만족하는가?
  • RQ3CIFAR-10/100에서 기존의 mixup 기반 방어책과 보간적 적대적 학습과 MI가 실제로 어떻게 상호 작용하는가?
  • RQ4무시적(oblivious) 및 적응적(adaptive) 공격자에 대해 MI의 효과를 설명하는 이론적 보장이나 직관은 무엇인가?

주요 결과

  • MI는 추론 시 전역 선형성을 적극적으로 이용하여 mixup으로 학습된 모델의 강인성을 추가로 향상시킬 수 있다.
  • MI는 clean 샘플과의 다중 혼합을 통해 교란 축소와 입력 전달이 가능해 적대적 공격에 저항한다.
  • MI-PL은 무표적 PGD 공격 하에서 일반적으로 더 강한 강인성과 탐지를 제공하며, 실험적으로 기준치 대비 상당한 강인성 이득을 보여준다.
  • MI-OL은 특정 공격 하에서 더 넓은 강인성을 제공하고 MI-PL과 유사한 탐지 격차를 보이나, 실용적인 성능은 많은 경우 MI-PL에 우선한다.
  • 인터폴레이티드 적대적 학습과 결합될 때도 MI는 효과적이고 호환되며, 학습 시 defenses만으로는 달성하기 어려운 강인성을 향상시킨다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.