Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Theoretical evidence for adversarial robustness through randomization

Rafaël Pinot, Laurent Meunier|arXiv (Cornell University)|Feb 4, 2019
Adversarial Robustness in Machine Learning参考文献 49被引用数 35
ひとこと要約

本論文は、推論時の指数ファミリー分布からのノイズ注入が敵対的ロバストネスを生み出すという理論的保証を提供し、敵対的一般化ギャップを上界することを示す。これはCIFARとImageNetの実験で裏付けられている。

ABSTRACT

This paper investigates the theory of robustness against adversarial attacks. It focuses on the family of randomization techniques that consist in injecting noise in the network at inference time. These techniques have proven effective in many contexts, but lack theoretical arguments. We close this gap by presenting a theoretical analysis of these approaches, hence explaining why they perform well in practice. More precisely, we make two new contributions. The first one relates the randomization rate to robustness to adversarial attacks. This result applies for the general family of exponential distributions, and thus extends and unifies the previous approaches. The second contribution consists in devising a new upper bound on the adversarial generalization gap of randomized neural networks. We support our theoretical claims with a set of experiments.

研究の動機と目的

  • ランダム化防御に対する敵対的攻撃に対するロバストネスを動機づけ、形式化する。
  • 確率 mappings のロバストネスを定義し、Renyi ダイバージェンスを適切な指標として正当化する。
  • 指数ファミリーのノイズとロバストネス、および敵対的一般化ギャップの上限との理論的保証を提供する。
  • CIFAR-10/100およびImageNetの実験を通じて、ノイズ注入ネットワークが競争力のある精度-ロバストネスのトレードオフを達成することを示す。

提案手法

  • 入力を出力分布へ写す確率 mappings M として防御をモデル化する。
  • Renyi ダイバージェンス d_R,λ を用いてロバストネスを定義し、指数ファミリーのノイズ注入と関連づける。
  • 定理1を証明する:指数ファミリーのノイズはノイズパラメータとネットワーク感度に依存する明示的な ε を持つ d_R,λ-(α,ε)-ロバストネスを保証する。
  • 定理2を証明する: ε とエントロピー H(M(x)) に依存する形で、敵対的一般化ギャップ Risk_α(M) − Risk(M) の境界を示す。
  • データ処理特性(補題2)を示し、後続の決定論的マッピング下でのロバストネスの保存を正当化する。
  • CNNs/ResNets へ Laplace および Gaussian ノイズを注入して、反復攻撃に対して評価するという実用的実装を提供する。

実験結果

リサーチクエスチョン

  • RQ1指数ファミリーから抽出されたノイズが、ランダム化されたネットワークの敵対的攻撃に対するロバストネスにどのように影響するか。
  • RQ2指数ファミリーノイズで防御された分類器に対する攻撃時の精度損失の境界を保証できるか。
  • RQ3ダイバージェンスの選択(Renyi 対 total variation)がロバストネスの保証にどのように影響するか。
  • RQ4実践的にはノイズレベルと精度/ロバストネスのトレードオフはどうなるか。

主な発見

  • ノイズが指数ファミリー分布から抽出されるとロバストネスが得られ、明示的な Renyi ダイバージェンスに基づく保証(定理1)を伴う。
  • Renyi ロバストネスは total-variation ロバストネスを意味し、理論的保証と実用的指標を結びつける(命題1)。
  • 敵対的一般化ギャップの上限を確立:Risk_α(M) − Risk(M) ≤ 1 − e^(-ε) E_x[e^{-H(M(x))]}(定理2)。
  • 推論時に Gaussian または Laplace ノイズを注入するとトレードオフが生じる:ノイズが大きいほどロバストネスは高まる一方で自然精度が低下し、精度-ロバストネスのバランスを示す(CIFAR-10/100およびImageNet の実験結果)。
  • 実験結果は、小さなノイズを用いたランダム化モデルが非ランダム化モデルに近い自然精度を維持し、反復攻撃(PGD, C&W, EAD)において競争力のロバストネスを示すことを示し、いくつかの設定で adversarial training と比較される(表1と議論)。
  • データ処理は、決定論的層と組み合わせた場合にもロバストネス特性が保持されることを保証し、層単位のランダム化を原理的な防御として支持する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。