論文の概要: Toward Adversarial Robustness via Semi-supervised Robust Training
- arxiv url: http://arxiv.org/abs/2003.06974v3
- Date: Tue, 16 Jun 2020 01:12:53 GMT
- ステータス: 処理完了
- システム内更新日: 2022-12-23 03:05:05.337731
- Title: Toward Adversarial Robustness via Semi-supervised Robust Training
- Title(参考訳): 半教師型ロバストトレーニングによる対人ロバストネスに向けて
- Authors: Yiming Li, Baoyuan Wu, Yan Feng, Yanbo Fan, Yong Jiang, Zhifeng Li,
Shutao Xia
- Abstract要約: アドリラルな例は、ディープニューラルネットワーク(DNN)に対する深刻な脅威であることが示されている。
R_stand$ と $R_rob$ の2つの異なるリスクを共同で最小化することで、新しい防御手法であるロバストトレーニング(RT)を提案する。
- 参考スコア(独自算出の注目度): 93.36310070269643
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Adversarial examples have been shown to be the severe threat to deep neural
networks (DNNs). One of the most effective adversarial defense methods is
adversarial training (AT) through minimizing the adversarial risk $R_{adv}$,
which encourages both the benign example $x$ and its adversarially perturbed
neighborhoods within the $\ell_{p}$-ball to be predicted as the ground-truth
label. In this work, we propose a novel defense method, the robust training
(RT), by jointly minimizing two separated risks ($R_{stand}$ and $R_{rob}$),
which is with respect to the benign example and its neighborhoods respectively.
The motivation is to explicitly and jointly enhance the accuracy and the
adversarial robustness. We prove that $R_{adv}$ is upper-bounded by $R_{stand}
+ R_{rob}$, which implies that RT has similar effect as AT. Intuitively,
minimizing the standard risk enforces the benign example to be correctly
predicted, and the robust risk minimization encourages the predictions of the
neighbor examples to be consistent with the prediction of the benign example.
Besides, since $R_{rob}$ is independent of the ground-truth label, RT is
naturally extended to the semi-supervised mode ($i.e.$, SRT), to further
enhance the adversarial robustness. Moreover, we extend the $\ell_{p}$-bounded
neighborhood to a general case, which covers different types of perturbations,
such as the pixel-wise ($i.e.$, $x + \delta$) or the spatial perturbation
($i.e.$, $ AX + b$). Extensive experiments on benchmark datasets not only
verify the superiority of the proposed SRT method to state-of-the-art methods
for defensing pixel-wise or spatial perturbations separately, but also
demonstrate its robustness to both perturbations simultaneously. The code for
reproducing main results is available at
\url{https://github.com/THUYimingLi/Semi-supervised_Robust_Training}.
- Abstract(参考訳): 敵対的な例はディープニューラルネットワーク(DNN)に対する深刻な脅威であることが示されている。
最も効果的な敵の防御方法の1つは、敵のリスクを最小化することで敵の訓練(at)である。これは、良質な例である$x$と、$\ell_{p}$-ball内の敵の摂動する近傍の両方を、地上のラベルとして予測することを奨励する。
本研究では,本研究で提案するロバスト・トレーニング (rt) という新しい防御手法を提案し,これら2つの分離リスク (r_{stand}$ と $r_{rob}$) を共同で最小化することを提案する。
その動機は、正確性と敵意の強固さを明確かつ共同で向上させることである。
我々は、$R_{adv}$が$R_{stand} + R_{rob}$によって上界であることを証明する。
直観的には、標準リスクの最小化は良性例を正しく予測することを強制し、ロバストリスクの最小化は隣の例の予測を良性例の予測と一致させる。
さらに、$R_{rob}$は接地構造ラベルとは独立であるため、RTは自然に半教師付きモード(すなわちSRT)に拡張され、対向的ロバスト性をさらに強化する。
さらに、$\ell_{p}$-bounded 近傍を一般的なケースに拡張し、ピクセル単位(すなわち$x + \delta$)や空間的摂動($x + b$)といった様々なタイプの摂動をカバーする。
ベンチマークデータセットにおける広範囲な実験により,提案手法は,画素方向あるいは空間的摂動を別々に防ぐための最先端手法であるだけでなく,両摂動に対する頑健性も同時に実証する。
主な結果を再現するコードは \url{https://github.com/thuyimingli/semi-supervised_robust_training} で入手できる。
関連論文リスト
- $σ$-zero: Gradient-based Optimization of $\ell_0$-norm Adversarial Examples [14.17412770504598]
入力摂動の作成には$ell_infty$-normの制約が使用できることを示す。
我々は $sigma$-norm と呼ばれる新しい $ell_infty$-norm 攻撃を提案する。
これは、成功、サイズ、効率の点で競合するすべての敵攻撃を上回っます。
論文 参考訳(メタデータ) (2024-02-02T20:08:11Z) - Adaptive Smoothness-weighted Adversarial Training for Multiple
Perturbations with Its Stability Analysis [39.90487314421744]
対人訓練(Adrial Training:AT)は、敵の事例に対して最も効果的な方法の1つとして実証されている。
異なる摂動型に対する対向ロバスト性を一般化するために、多重摂動(ATMP)のアドリナルトレーニングを提案する。
安定性に基づく過剰リスク境界を開発し、複数の摂動に対する適応重み付き対向トレーニングを提案する。
論文 参考訳(メタデータ) (2022-10-02T15:42:34Z) - Adversarially Robust Learning with Tolerance [8.658596218544774]
本稿では,距離摂動集合に対する寛容逆PAC学習の問題点について考察する。
自然摂動・平滑アルゴリズムの変種であるPACは、$gamma$-tolerant adversarial setにおいて、VC次元が$v$の任意の仮説クラス$mathcalH$を学習する。
また,2次元に線形依存したサンプル境界を求める学習手法を提案する。
論文 参考訳(メタデータ) (2022-03-02T03:50:16Z) - Towards Compositional Adversarial Robustness: Generalizing Adversarial
Training to Composite Semantic Perturbations [70.05004034081377]
まず,合成逆数例を生成する新しい手法を提案する。
本手法は, コンポーネントワイド射影勾配勾配を利用して最適攻撃組成を求める。
次に,モデルロバスト性を$ell_p$-ballから複合意味摂動へ拡張するための一般化逆トレーニング(GAT)を提案する。
論文 参考訳(メタデータ) (2022-02-09T02:41:56Z) - Linear Contextual Bandits with Adversarial Corruptions [91.38793800392108]
本稿では,敵対的腐敗の存在下での線形文脈的包帯問題について検討する。
逆汚染レベルに適応する分散認識アルゴリズムをC$で提案する。
論文 参考訳(メタデータ) (2021-10-25T02:53:24Z) - PDPGD: Primal-Dual Proximal Gradient Descent Adversarial Attack [92.94132883915876]
最先端のディープニューラルネットワークは、小さな入力摂動に敏感である。
対向騒音に対するロバスト性を改善するための多くの防御法が提案されている。
敵の強靭さを評価することは 極めて困難であることが分かりました
論文 参考訳(メタデータ) (2021-06-03T01:45:48Z) - Towards Defending Multiple $\ell_p$-norm Bounded Adversarial
Perturbations via Gated Batch Normalization [120.99395850108422]
既存の敵防衛は、個々の摂動に対するモデル堅牢性を改善するのが一般的である。
最近の手法では、複数の$ell_p$球における敵攻撃に対するモデルロバスト性を改善するが、各摂動型に対するそれらの性能は、まだ十分ではない。
我々は,複数の$ell_pの有界摂動を守るために,摂動不変予測器を逆向きに訓練するGated Batch Normalization (GBN)を提案する。
論文 参考訳(メタデータ) (2020-12-03T02:26:01Z) - Sharp Statistical Guarantees for Adversarially Robust Gaussian
Classification [54.22421582955454]
逆向きに頑健な分類の過剰リスクに対する最適ミニマックス保証の最初の結果を提供する。
結果はAdvSNR(Adversarial Signal-to-Noise Ratio)の項で述べられており、これは標準的な線形分類と逆数設定との類似の考え方を一般化している。
論文 参考訳(メタデータ) (2020-06-29T21:06:52Z) - Are L2 adversarial examples intrinsically different? [14.77179227968466]
理論的解析により、本質的に逆例と正規入力を区別できる性質を解明する。
我々は,MNISTで最大99%,CIFARで89%,ImageNetサブセットで最大87%の分類精度を,$L$攻撃に対して達成した。
論文 参考訳(メタデータ) (2020-02-28T03:42:52Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。