Skip to main content
QUICK REVIEW

[논문 리뷰] Provable, Scalable and Automatic Perturbation Analysis on General Computational Graphs

Kaidi Xu, Zhouxing Shi|arXiv (Cornell University)|2020. 02. 28.
Adversarial Robustness in Machine Learning참고 문헌 3인용 수 2
한 줄 요약

이 논문은 계산 그래프를 사용하여 임의의 신경망 아키텍처에 대한 증명 가능 펌터베이션 분석을 위한 일반적이고 자동화된 프레임워크를 제시한다. 이는 LiRPA를 DenseNet, ResNeXt, 트랜스포머와 같은 복잡한 모델로 확장하며, 손실 융합과 오픈소스 도구를 통해 Tiny ImageNet 및 내림은 이미지넷과 같은 대규모 데이터셋에서 최신 기준의 인증 방어를 가능하게 한다.

ABSTRACT

Linear relaxation based perturbation analysis (LiRPA) for neural networks, which computes provable linear bounds of output neurons given a certain amount of input perturbation, has become a core component in robustness verification and certified defense. The majority of LiRPA-based methods only consider simple feed-forward networks and it needs particular manual derivations and implementations when extended to other architectures. In this paper, we develop an automatic framework to enable perturbation analysis on any neural network structures, by generalizing exiting LiRPA algorithms such as CROWN to operate on general computational graphs. The flexibility, differentiability and ease of use of our framework allow us to obtain state-of-the-art results on LiRPA based certified defense on fairly complicated networks like DenseNet, ResNeXt and Transformer that are not supported by prior work. Our framework also enables loss fusion, a technique that significantly reduces the computational complexity of LiRPA for certified defense. For the first time, we demonstrate LiRPA based certified defense on Tiny ImageNet and Downscaled ImageNet where previous approaches cannot scale to due to the relatively large number of classes. Our work also yields an open-source library for the community to apply LiRPA to areas beyond certified defense without much LiRPA expertise, e.g., we create a neural network with a provably flat optimization landscape. Our open source library is available at this https URL.

연구 동기 및 목표

  • 단순 피드포워드 네트워크를 초월해 임의의 신경망 아키텍처에 대해 자동으로 증명 가능 펌터베이션 분석을 가능하게 하는 것.
  • 기존의 LiRPA 방법(예: CROWN)을 수동 유도 없이도 임의의 계산 그래프에서 작동하도록 일반화하는 것.
  • 손실 융합을 통한 계산 복잡도 감소로 대규모 모델과 데이터셋에서의 확장성을 향상시키기 위해 인증 방어의 계산 비용을 낮추는 것.
  • 이전에는 불가능했던 고클래스 수의 대규모 데이터셋, 예를 들어 Tiny ImageNet 및 Downscaled ImageNet에서의 인증 방어를 지원하는 것.
  • LiRPA를 인증 방어 이외의 다양한 응용 분야에 적용할 수 있도록 하기 위해 전문 지식이 적은 사용자도 접근할 수 있도록 오픈소스 라이브러리를 제공하는 것.

제안 방법

  • 다양한 연산에 대해 미분 가능 연산을 통한 경계 전파 모델링을 통해 LiRPA 알고리즘을 임의의 계산 그래프로 일반화하는 것.
  • 다양체성과 자동 미분을 활용하여 복잡한 아키텍처를 통해 종단 간 자동 경계 계산을 가능하게 하는 것.
  • LiRPA에서의 백워드 프로세스 수를 줄이기 위해 손실 융합을 도입하여 인증 방어 중 계산 비용을 크게 낮추는 것.
  • 경계 계산 그래프를 통해 역전파를 지원하여 강건성과 정확도를 동시에 최적화할 수 있도록 하는 것.
  • 계산 그래프 내의 임의의 레이어와 연산에 대해 선형 이완 경계를 자동으로 유도하고 적용하는 것.
  • 기존 딥러닝 프레임워크에 쉽게 통합할 수 있도록 모듈화되고 확장 가능한 라이브러리를 제공하는 것.

실험 결과

연구 질문

  • RQ1LiRPA 기반의 펌터베이션 분석이 수동 유도 없이도 임의의 신경망 아키텍처에 자동으로 적용될 수 있는가?
  • RQ2대규모 모델과 데이터셋에서 LiRPA 기반 인증 방어의 계산 복잡도는 어떻게 감소시킬 수 있는가?
  • RQ3Tiny ImageNet 및 Downscaled ImageNet과 같은 고클래스 수의 데이터셋에 LiRPA 기반 인증 방어를 적용하는 것은 가능한가?
  • RQ4이 프레임워크는 인증 방어 이외의 새로운 응용, 예를 들어 증명 가능 평탄한 최적화 곡면을 가진 훈련 등에도 가능하게 할 수 있는가?
  • RQ5복잡한 아키텍처에서 기존 LiRPA 방법에 비해 성능 및 확장성 측면에서 제안된 프레임워크는 어떻게 비교되는가?

주요 결과

  • 이 프레임워크는 이전에 LiRPA에서 지원되지 않았던 복잡한 아키텍처인 DenseNet, ResNeXt, 트랜스포머에서도 최신 기준의 인증 방어를 가능하게 한다.
  • 손실 융합은 LiRPA 기반 인증 방어의 계산 복잡도를 감소시켜 대규모 모델에서의 효율적 훈련을 가능하게 한다.
  • 이번에 처음으로 LiRPA 기반 인증 방어가 Tiny ImageNet 및 Downscaled ImageNet에서 성공적으로 구현되었으며, 이는 이전 접근 방식의 확장성 한계를 극복한 것이다.
  • 이 프레임워크는 강건성 외적으로도 증명 가능 평탄한 최적화 곡면을 가진 신경망 구축을 지원하여 더 넓은 응용 가능성을 보여준다.
  • 오픈소스 라이브러리가 공개되어 연구자들이 펌터베이션 분석 전문 지식이 적은 상태에서도 LiRPA를 새로운 분야에 쉽게 적용할 수 있도록 한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.