[论文解读] Sparse DNNs with Improved Adversarial Robustness
该论文分析权重连接和激活的稀疏性如何影响线性分类器和非线性 DNN 的对抗鲁棒性,结果显示在非线性模型中,适当的稀疏性可以提升对 l_infty 和 l_2 攻击的鲁棒性。它将理论界限与在 MNIST 和 CIFAR-10 上进行的剪枝经验实验相结合。
Deep neural networks (DNNs) are computationally/memory-intensive and vulnerable to adversarial attacks, making them prohibitive in some real-world applications. By converting dense models into sparse ones, pruning appears to be a promising solution to reducing the computation/memory cost. This paper studies classification models, especially DNN-based ones, to demonstrate that there exists intrinsic relationships between their sparsity and adversarial robustness. Our analyses reveal, both theoretically and empirically, that nonlinear DNN-based classifiers behave differently under $l_2$ attacks from some linear ones. We further demonstrate that an appropriately higher model sparsity implies better robustness of nonlinear DNNs, whereas over-sparsified models can be more difficult to resist adversarial examples.
研究动机与目标
- 研究包括线性和非线性 DNN 在内的分类器中,稀疏性与鲁棒性之间的本质关系。
- 发展用于量化在 l_infty 和 l_2 攻击下鲁棒性的度量指标。
- 给出将稀疏性与线性与非线性模型鲁棒性联系起来的理论界限。
- 通过实验证实剪枝和激活稀疏性如何影响在 MNIST 和 CIFAR-10 上的对抗抵抗力。
提出的方法
- 为线性分类器和多类线性分类器定义鲁棒性指标 r_infty 和 r_2。
- 推导理论关系,显示权重稀疏性如何影响线性模型的 r_infty 和 r_2。
- 利用局部 Lipschitz 常数以及激活/权重稀疏性,将分析扩展到非线性 DNN。
- 提出并应用剪枝策略和 l1 激活正则化,以进行鲁棒性的实验评估。
- 进行对抗性攻击(FGS、DeepFool、C&W、rFGS),在不同模型中测量鲁棒性。
- 在 MNIST(二分类和多分类)和 CIFAR-10 上,使用 LeNet、VGG-like 和 ResNet 架构进行评估。
实验结果
研究问题
- RQ1权重稀疏性如何影响线性分类器对 l_infty 和 l_2 对抗攻击的鲁棒性?
- RQ2在不同架构和数据集上,非线性 DNN 是否随着权重和激活的稀疏性增加而表现出一致的鲁棒性提升?
- RQ3哪些理论关系可以在网络稀疏性与鲁棒性度量之间给出界限?
- RQ4剪枝和激活正则化在精度下降前后如何影响模型鲁棒性?
主要发现
- 在线性二分类/多分类分类器中,更高的权重稀疏性可以提高 l_infty 鲁棒性(r_infty),但可能不会提高 r_2 鲁棒性。
- 非线性 DNN 在稀疏性增加到阈值水平时,对 l_infty 和 l_2 攻击均显示出持续的鲁棒性提升。
- 通过 l1 正则化实现的激活稀疏性在某一稀疏范围内也与更高鲁棒性相关。
- 过度剪枝在良性准确率下降之前会导致对抗鲁棒性急剧下降。
- 极度稀疏的现成稀疏模型可能比稠密模型更易受到对抗攻击。
- 理论结果将局部 Lipschitz 常数和稀疏性联系到非线性网络的鲁棒性界限。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。