Skip to main content
Nubint
QUICK REVIEW

[论文解读] MMA Training: Direct Input Space Margin Maximization through Adversarial Training

Gavin Weiguang Ding, Yash Sharma|arXiv (Cornell University)|Dec 6, 2018
Adversarial Robustness in Machine Learning参考文献 28被引用 95
一句话总结

MMA 训练直接通过为每个数据点自适应扰动半径来最大化每个样本的输入空间边界,从而将边界最大化与对抗鲁棒性联系起来。

ABSTRACT

We study adversarial robustness of neural networks from a margin maximization perspective, where margins are defined as the distances from inputs to a classifier's decision boundary. Our study shows that maximizing margins can be achieved by minimizing the adversarial loss on the decision boundary at the "shortest successful perturbation", demonstrating a close connection between adversarial losses and the margins. We propose Max-Margin Adversarial (MMA) training to directly maximize the margins to achieve adversarial robustness. Instead of adversarial training with a fixed $ε$, MMA offers an improvement by enabling adaptive selection of the "correct" $ε$ as the margin individually for each datapoint. In addition, we rigorously analyze adversarial training with the perspective of margin maximization, and provide an alternative interpretation for adversarial training, maximizing either a lower or an upper bound of the margins. Our experiments empirically confirm our theory and demonstrate MMA training's efficacy on the MNIST and CIFAR10 datasets w.r.t. $\ell_\infty$ and $\ell_2$ robustness. Code and models are available at https://github.com/BorealisAI/mma_training.

研究动机与目标

  • 将输入空间边距定义为输入到分类器决策边界的距离,并将边距最大化与对抗性损失联系起来。
  • 提出最大边距对抗训练(MMA),以自适应每个数据点的 epsilon 来最大化每个样本的边距。
  • 证明通过在最短的成功扰动处最小化损失即可实现边距最大化,从而实现梯度优化。
  • 从边距最大化的视角提供对对抗性训练的理论分析,并在对 ℓ∞ 和 ℓ2 扰动的 MNIST 和 CIFAR-10 实验中进行验证。

提出的方法

  • 将边距 d_theta(x,y) 定义为改变分类器决策所需的最小扰动。
  • 使用软对数边距损失 L_SLM 作为对数线性边距损失的平滑代理,以稳定训练。
  • 提出 MMA 目标,在阈值 d_max 之内最大化边距,同时在错误分类点上最小化分类损失。
  • 证明关于模型参数的边距梯度与最短的成功扰动处的损失梯度成正比。
  • 使用自适应范数投影梯度下降(AN-PGD)来逼近最短的成功扰动 delta*,用于计算边距和更新。
  • 选择性地包含一个组合损失 L_CB,通过添加干净样本损失项来稳定训练。

实验结果

研究问题

  • RQ1通过 MMA 最大化逐样本输入空间边距,是否能提升相较于固定 epsilon 的对抗训练的鲁棒性?
  • RQ2对每个样本自适应选择边距阈值 d_max 是否在准确度与鲁棒性之间带来更好的权衡?
  • RQ3从边距最大化的角度,MMA 与标准对抗训练有何关系,包括使用代理损失时?
  • RQ4MMA 训练的模型在 MNIST 和 CIFAR-10 等数据集上对 ℓ∞ 和 ℓ2 扰动是否都具鲁棒性?
  • RQ5当明确优化边距而非固定扰动防御时,会产生何种训练动态?

主要发现

  • MMA 训练在整个训练数据上扩大边距,与可能留下较小边距的固定 epsilon 对抗训练不同。
  • MMA 在多种攻击强度下平均实现更高的鲁棒性,同时在保持准确率的同时,且对超参数不敏感。
  • 理论分析将对抗性训练与边距最大化联系起来,显示通过自适应扰动,MMA 选择了每个样本的“正确”边距。
  • 在 MNIST 和 CIFAR-10 上对 ℓ∞ 和 ℓ2 的实证结果证明了 MMA 的竞争鲁棒性,以及与边距驱动目标的一致性。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。