[论文解读] Globally-Robust Neural Networks
本文提出全局鲁棒神经网络(GloRo Net),一种通过使用全局Lipschitz界训练神经网络的方法,实现了最低的训练与推理开销,达到最先进的可验证鲁棒准确率。通过在前向传播中引入可学习的全局Lipschitz约束,并采用一种新型损失函数,该方法可在推理时实现高效、确定性的鲁棒性认证,相较于先前方法在MNIST、CIFAR-10和Tiny-ImageNet上的速度、内存效率和可验证准确率方面表现更优。
The threat of adversarial examples has motivated work on training certifiably robust neural networks to facilitate efficient verification of local robustness at inference time. We formalize a notion of global robustness, which captures the operational properties of on-line local robustness certification while yielding a natural learning objective for robust training. We show that widely-used architectures can be easily adapted to this objective by incorporating efficient global Lipschitz bounds into the network, yielding certifiably-robust models by construction that achieve state-of-the-art verifiable accuracy. Notably, this approach requires significantly less time and memory than recent certifiable training methods, and leads to negligible costs when certifying points on-line; for example, our evaluation shows that it is possible to train a large robust Tiny-Imagenet model in a matter of hours. Our models effectively leverage inexpensive global Lipschitz bounds for real-time certification, despite prior suggestions that tighter local bounds are needed for good performance; we posit this is possible because our models are specifically trained to achieve tighter global bounds. Namely, we prove that the maximum achievable verifiable accuracy for a given dataset is not improved by using a local bound.
研究动机与目标
- 解决现有可认证鲁棒训练方法在神经网络中计算成本高、内存需求大的问题。
- 克服全局Lipschitz界常被认为过于宽松而难以有效用于鲁棒性认证的局限性。
- 开发一种训练框架,将全局Lipschitz界不仅作为代理,更作为实现鲁棒性的核心机制,从构建上确保鲁棒性。
- 实现在推理过程中实时、低成本的鲁棒性认证,其效率与标准前向传播相当。
- 证明通过适当训练,全局鲁棒性可实现与依赖更紧局部界的方法相当或更优的性能。
提出的方法
- 形式化定义一种全局鲁棒性概念:任意两类区域之间的特征空间至少被ε分隔,要求模型在不确定输入上拒绝预测。
- 通过在前向传播中集成全局Lipschitz界作为新的“鲁棒性破坏”类别,构建GloRo Net。
- 使用一种新型损失函数,当全局Lipschitz界超过ε时对预测进行惩罚,通过优化促使边界更紧密。
- 利用全局Lipschitz界可高效计算的特性,并将其作为轻量级、可微分的组件集成到网络中。
- 使用标准反向传播训练模型,损失函数在所有非真实标签logits上增加√2εK_G,促进鲁棒性而不惩罚远距离边界。
- 通过单次前向传播实现在线认证,因为全局界计算已高效嵌入网络架构中。
实验结果
研究问题
- RQ1尽管先前认为需要更紧的局部界,全局Lipschitz界能否有效作为训练可认证鲁棒神经网络的主要机制?
- RQ2与依赖局部界或对偶网络的方法相比,针对全局Lipschitz约束进行训练是否能获得更高的可验证鲁棒准确率?
- RQ3能否以极低的训练与推理开销实现全局鲁棒性,从而在实际中实现实时认证?
- RQ4全局与局部界在鲁棒性认证中的性能差距是固有局限,还是可通过适当的训练目标被克服?
- RQ5与随机平滑方法相比,该方法在认证速度、确定性及可验证准确率方面表现如何?
主要发现
- 所提出的GloRo Net方法在MNIST上实现了63%的可验证鲁棒准确率(ε=1.58),较所有先前方法高出多个百分点。
- 该方法在更大数据集上表现出良好可扩展性,在CIFAR-10上达到最先进的可验证鲁棒准确率,并在数小时内完成大型Tiny-ImageNet模型的训练。
- GloRo Net的认证仅需一次前向传播,显著快于随机平滑方法,后者每输入可能需要多达100,000次前向传播。
- 尽管使用全局界,该方法性能与或优于使用局部界的方法,证明在适当训练下,全局界并非固有瓶颈。
- 训练过程带来的内存与时间开销可忽略不计,认证成本几乎与标准推理相同,支持实时部署。
- 理论分析证明,任何可通过局部界实现的鲁棒分类,只要网络训练目标为最小化全局Lipschitz常数,也可通过全局界实现。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。