[论文解读] Adversarial Training Can Hurt Generalization
该论文表明对抗性训练在凸构造下会损害标准泛化,即使最优预测器对标准和鲁棒准确性都很好,并且展示使用未标注数据进行鲁棒自训练在很大程度上缓解了这一权衡。
While adversarial training can improve robust accuracy (against an adversary), it sometimes hurts standard accuracy (when there is no adversary). Previous work has studied this tradeoff between standard and robust accuracy, but only in the setting where no predictor performs well on both objectives in the infinite data limit. In this paper, we show that even when the optimal predictor with infinite data performs well on both objectives, a tradeoff can still manifest itself with finite data. Furthermore, since our construction is based on a convex learning problem, we rule out optimization concerns, thus laying bare a fundamental tension between robustness and generalization. Finally, we show that robust self-training mostly eliminates this tradeoff by leveraging unlabeled data.
研究动机与目标
- 在凸 setting 下证明标准与鲁棒准确性在有限数据下的权衡。
- 将优化与统计分离,展示鲁棒性与泛化之间的基本张力。
- 显示使用未标注数据的鲁棒自训练可以消除有限数据所观察到的权衡。
提出的方法
- 构建一个具有阶梯状最优预测器的凸学习问题,该预测器既鲁棒又准确。
- 定义不变集 B(x) 并用平方损失分析标准目标与鲁棒为重的目标。
- 在目标不变性(无限数据)下证明标准估计量与鲁棒估计量的一致性。
- 使用有限样本构造显示在样本较小的情况下鲁棒训练的测试误差高于标准训练。
- 对 CIFAR-10 进行子采样,观察准确度差距如何随数据量增加而缩小,呼应该构造。
- 展示对未标注数据的鲁棒自训练可缓解该权衡。
实验结果
研究问题
- RQ1即使 Bayes predictor 对鲁棒性和准确性都很强,对抗性训练会损害标准泛化吗?
- RQ2有限样本 regime 是否揭示标准与鲁rob目标之间的权衡,而与优化问题无关?
- RQ3通过鲁棒自训练利用未标注数据能否缩小或消除标准-鲁棒性能差?
- RQ4在何种条件下鲁棒性作为正则化器而非小数据情景下的过拟合源?
主要发现
- 一个凸构造表明对抗性训练在有限样本下会恶化标准泛化,即使最优预测器对两个目标都良好。
- 随着训练样本量增加,鲁棒测试误差与标准测试误差之间的差距缩小,表明更多数据缓解权衡。
- 使用额外的未标注数据进行鲁棒自训练在很大程度上消除了权衡,达到与标准训练相当的性能,同时保持鲁棒。
- 在 CIFAR-10 和 MNIST 类似设置中,观察到的权衡与阶梯构造一致,更多数据或未标注数据会减少或消除它。
- 鲁棒性的效果取决于鲁棒预测器的复杂度;当鲁棒预测器很简单(如斜率 m=0)时,对抗性训练可以改善标准泛化。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。