Skip to main content
QUICK REVIEW

[论文解读] Provable, Scalable and Automatic Perturbation Analysis on General Computational Graphs

Kaidi Xu, Zhouxing Shi|arXiv (Cornell University)|Feb 28, 2020
Adversarial Robustness in Machine Learning参考文献 3被引用 2
一句话总结

本文提出了一种通用的、自动化的框架,通过计算图对任意神经网络架构进行可证明的扰动分析,将LiRPA扩展至DenseNet、ResNeXt和Transformer等复杂模型。通过损失融合和开源工具链,该框架在Tiny ImageNet和Downscaled ImageNet等大规模数据集上实现了最先进的可证明防御。

ABSTRACT

Linear relaxation based perturbation analysis (LiRPA) for neural networks, which computes provable linear bounds of output neurons given a certain amount of input perturbation, has become a core component in robustness verification and certified defense. The majority of LiRPA-based methods only consider simple feed-forward networks and it needs particular manual derivations and implementations when extended to other architectures. In this paper, we develop an automatic framework to enable perturbation analysis on any neural network structures, by generalizing exiting LiRPA algorithms such as CROWN to operate on general computational graphs. The flexibility, differentiability and ease of use of our framework allow us to obtain state-of-the-art results on LiRPA based certified defense on fairly complicated networks like DenseNet, ResNeXt and Transformer that are not supported by prior work. Our framework also enables loss fusion, a technique that significantly reduces the computational complexity of LiRPA for certified defense. For the first time, we demonstrate LiRPA based certified defense on Tiny ImageNet and Downscaled ImageNet where previous approaches cannot scale to due to the relatively large number of classes. Our work also yields an open-source library for the community to apply LiRPA to areas beyond certified defense without much LiRPA expertise, e.g., we create a neural network with a provably flat optimization landscape. Our open source library is available at this https URL.

研究动机与目标

  • 为除简单前馈网络外的任意神经网络架构提供自动、可证明的扰动分析。
  • 将现有的LiRPA方法(如CROWN)推广至无需手动推导即可在任意计算图上运行的通用场景。
  • 通过损失融合降低可证明防御中的计算复杂度,从而实现对大型模型和数据集的可扩展性。
  • 支持在大规模、高类别数数据集(如Tiny ImageNet和Downscaled ImageNet)上实现可证明防御,此前这些任务在先前方法下均不可行。
  • 提供一个开源库,降低将LiRPA应用于认证防御以外各类应用的门槛。

提出的方法

  • 通过将边界传播建模为可微操作,将LiRPA算法推广至任意计算图,实现对复杂架构的边界传播。
  • 利用可微性和自动微分,实现端到端、自动的边界计算,适用于复杂架构。
  • 引入损失融合技术,减少LiRPA中反向传播的次数,显著降低可证明防御过程中的计算成本。
  • 支持在边界计算图上进行反向传播,实现鲁棒性与准确率的联合优化。
  • 自动推导并应用计算图中任意层和操作的线性松弛边界。
  • 提供模块化、可扩展的库,支持无缝集成到现有深度学习框架中。

实验结果

研究问题

  • RQ1是否可以无需手动推导,将基于LiRPA的扰动分析自动应用于任意神经网络架构?
  • RQ2如何降低大型模型和数据集上基于LiRPA的可证明防御的计算复杂度?
  • RQ3是否可行将基于LiRPA的可证明防御应用于高类别数数据集(如Tiny ImageNet和Downscaled ImageNet)?
  • RQ4该框架能否实现LiRPA在认证防御之外的新应用,例如训练具有可证明平坦优化景观的模型?
  • RQ5与先前的LiRPA方法相比,该框架在复杂架构上的性能和可扩展性如何?

主要发现

  • 该框架实现了对DenseNet、ResNeXt和Transformer等复杂架构的最先进的可证明防御,这些架构此前均不在LiRPA支持范围内。
  • 损失融合显著降低了基于LiRPA的可证明防御的计算复杂度,使大型模型的高效训练成为可能。
  • 首次在Tiny ImageNet和Downscaled ImageNet上实现了基于LiRPA的可证明防御,克服了先前方法在可扩展性方面的限制。
  • 该框架支持构建具有可证明平坦优化景观的神经网络,展示了其在鲁棒性之外的更广泛应用潜力。
  • 已发布开源库,使研究人员能够以极低的扰动分析知识门槛,将LiRPA应用于新领域。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。