Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Understanding and Improving Ensemble Adversarial Defense

Yian Deng, Tingting Mu|arXiv (Cornell University)|2023. 10. 27.
Adversarial Robustness in Machine Learning인용 수 8
한 줄 요약

이 논문은 앙상블 적대적 방어를 위한 새로운 오류 이론을 제시하고, 앙상블 강건성을 높이기 위한 대화형 글로벌 적대적 학습(iGAT)을 도입하여 화이트박스 및 블랙박스 공격하에서 CIFAR-10/100에서 최대 약 17%의 성능 향상을 달성합니다.

ABSTRACT

The strategy of ensemble has become popular in adversarial defense, which trains multiple base classifiers to defend against adversarial attacks in a cooperative manner. Despite the empirical success, theoretical explanations on why an ensemble of adversarially trained classifiers is more robust than single ones remain unclear. To fill in this gap, we develop a new error theory dedicated to understanding ensemble adversarial defense, demonstrating a provable 0-1 loss reduction on challenging sample sets in an adversarial defense scenario. Guided by this theory, we propose an effective approach to improve ensemble adversarial defense, named interactive global adversarial training (iGAT). The proposal includes (1) a probabilistic distributing rule that selectively allocates to different base classifiers adversarial examples that are globally challenging to the ensemble, and (2) a regularization term to rescue the severest weaknesses of the base classifiers. Being tested over various existing ensemble adversarial defense techniques, iGAT is capable of boosting their performance by increases up to 17% evaluated using CIFAR10 and CIFAR100 datasets under both white-box and black-box attacks.

연구 동기 및 목표

  • 적대적으로 학습된 분류기들의 앙상블이 단일 모델보다 더 강건할 수 있는 이유를 동기 부여하고 형식화한다.
  • 도전적인 샘플 세트에 초점을 맞춘 앙상블 적대적 방어를 위한 오류 이론 프레임워크를 개발한다.
  • 글로벌 적대적 예제를 분산시키고 오분류 정규화 항을 통해 앙상블의 성능을 향상시키는 iGAT를 제안한다.
  • 다양한 공격하에서 CIFAR-10/100에 대해 기존의 앙상블 방어보다 실험적으로 (~17%) 개선을 입증한다.

제안 방법

  • 평균 결합자 또는 최대 결합자 하에서 두 기초 MLP 앙상블에 대한 앙상블 강건성 이득을 보이는 오차 감소 결과(Theorem 4.1)를 증명한다.
  • 도전적 근접 결정 영역 예시를 포착하기 위해 모호한 페어와 모호한 페어 세트를 정의한다(정의 4.3, 가정 4.2 및 4.4).
  • Eq. 13 및 Eq. 14에서 하드 또는 소프트 배분 규칙을 통해 전역으로 생성된 적대적 예제를 기저 분류기에 분배하는 iGAT를 도입한다.
  • Eq. 15에서 기저 분류기 중 가장 많이 잘못 분류된 출력에 초점을 맞추는 정규화 항 L_R을 추가하여 가장 심각한 약점을 강화한다.
  • Eq. (16)에서 원래의 앙상블 손실과 글로벌 적대적 손실(α) 및 오분류 정규화 항(β)을 결합한 강화된 학습 목표를 제공한다.
  • ADP, CLDL, DVERGE, SoE, GAL, TRS 등 기존의 앙상블 방어와의 호환성을 입증하고 실험에 PGD 기반 적대적 학습을 적용한다.

실험 결과

연구 질문

  • RQ1적대적으로 학습된 분류기의 앙상블이 왜 단일 모델에 비해 적대적 설정에서 검증 가능한 강건성 이점을 가질 수 있는가?
  • RQ2전역적으로 생성된 적대적 예제를 principled하게 분배하고 대상이 되는 정규화를 통해 앙상블 내 기저 분류기의 성능을 의미 있게 향상시킬 수 있는가?
  • RQ3iGAT가 화이트박스와 블랙박스 공격 모두에서 CIFAR-10/100에 대해 최첨단 앙상블 방어에 얼마나 개선을 제공하는가?

주요 결과

  • 오류 이론은 도전 샘플 세트에 대한 0-1 로스 감소를 검증 가능한 것으로 제시한다.
  • iGAT는 선도적인 앙상블 방법에 적용될 때 실질적인 강건성 이득을 제공하며(CIFAR-10/100에서 최대 17% 향상).
  • 전역적으로 분배된 적대적 예제와 정규화 항은 앙상블 내 약한 수행 기저 분류기에 효과적으로 대응한다.
  • 다양한 앙상블 백본과 애그리게이터(평균 및 최대)에서 화이트박스 및 블랙박스 공격 하의 실증 결과가 개선을 보인다.
  • 이 접근 방식은 ADP, CLDL, DVERGE, SoE, GAL, TRS 등 여러 기존 앙상블 방어와 호환된다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.