[论文解读] Adversarial Examples, Uncertainty, and Transfer Testing Robustness in Gaussian Process Hybrid Deep Networks
本文提出高斯过程混合深度网络(GPDNNs),将CNN表示与GP顶层结合,以提升不确定性校准和对抗样例及域移位的鲁棒性,在MNIST和CIFAR-10上进行评估。GPDNNs在不确定性和鲁棒性方面优于标准神经网络,特别是在域转移情境下。
Deep neural networks (DNNs) have excellent representative power and are state of the art classifiers on many tasks. However, they often do not capture their own uncertainties well making them less robust in the real world as they overconfidently extrapolate and do not notice domain shift. Gaussian processes (GPs) with RBF kernels on the other hand have better calibrated uncertainties and do not overconfidently extrapolate far from data in their training set. However, GPs have poor representational power and do not perform as well as DNNs on complex domains. In this paper we show that GP hybrid deep networks, GPDNNs, (GPs on top of DNNs and trained end-to-end) inherit the nice properties of both GPs and DNNs and are much more robust to adversarial examples. When extrapolating to adversarial examples and testing in domain shift settings, GPDNNs frequently output high entropy class probabilities corresponding to essentially "don't know". GPDNNs are therefore promising as deep architectures that know when they don't know.
研究动机与目标
- 为实际部署中的深度模型提供良好标定的不确定性进行动机说明。
- 提出GPDNNs—在端对端训练的深度网络之上加入高斯过程,以结合CNN表示和贝叶斯不确定性。
- 评估GPDNNs在分类性能、对抗鲁棒性以及对 vanilla CNN 的域转移测试。
- 证明GPDNNs在不确定性估计和鲁棒性方面,尤其在域移位下表现更优。
提出的方法
- 将GPDNNs结构化为带有GP顶层的CNN,使用端对端训练的变分诱导点。
- 对诱导点使用变分下界 log p(Y) ≥ sum_y,x∈Y E_q(f_x)[log p(y|f_x)] − KL(q(f_Z)||p(f_Z))。
- 在多类分类中使用鲁棒最大似然(robustmax)而非标准softmax。
- 使用TensorFlow和GPflow端对端训练,以在GP组件上反向传播。
- 在MNIST和CIFAR-10数据集上比较架构A(NN)、B(带额外层的NN)和C(GPDNN)。
- 使用准确率和对数似然进行评估,并分析对FGSM和Carlini–Wagner L2攻击的鲁棒性,以及对域外数字数据集的迁移。
实验结果
研究问题
- RQ1GPDNNs在提供更好标定的不确定性同时,是否能达到有竞争力的分类准确率?
- RQ2与标准CNN相比,GPDNNs是否对对抗扰动表现出更强的鲁棒性?
- RQ3在迁移到域外图像数据集时,GPDNNs是否对域移位更鲁棒?
- RQ4在对抗与迁移情景下,GPDNNs的不确定性度量(预测熵/对数似然)表现如何?
主要发现
- GPDNNs在MNIST上实现了更低的错误率和更高的对数似然值,尤其在训练数据有限的情况下优于普通NN。
- 在CIFAR-10上,GPDNNs在准确率和对数似然值方面显示出边际改进,且更深的基础网络有利于训练动态。
- 在MNIST的FGSM对抗扰动下,GPDNNs的错误率和对数似然的退化速度较慢,且在不确定区域具有更高的预测熵。
- 对CW L2攻击时,许多GPDNN扰动无法欺骗模型,表明鲁棒性有所提升。
- 在对ANOMNIST、Semeion和SVHN的迁移测试中,GPDNNs保持更好的对数似然值(较少过度自信),显示对域移位的更好处理。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。