論文の概要: RAMP: Boosting Adversarial Robustness Against Multiple $l_p$
Perturbations
- arxiv url: http://arxiv.org/abs/2402.06827v1
- Date: Fri, 9 Feb 2024 23:29:54 GMT
- ステータス: 処理完了
- システム内更新日: 2024-02-13 19:09:27.950111
- Title: RAMP: Boosting Adversarial Robustness Against Multiple $l_p$
Perturbations
- Title(参考訳): RAMP:複数の$l_p$摂動に対する対向ロバスト性を高める
- Authors: Enyi Jiang, Gagandeep Singh
- Abstract要約: textbfRAMPは、頑健な微調整と全対角訓練の両方に容易に適応できることを示す。
スクラッチからトレーニングするために、 textbfRAMP は SOTA の結合精度を44.6% で、比較的良好な清潔さを ResNet-18 で AutoAttack に対して 811.2% で達成している。
- 参考スコア(独自算出の注目度): 4.70722607350087
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: There is considerable work on improving robustness against adversarial
attacks bounded by a single $l_p$ norm using adversarial training (AT).
However, the multiple-norm robustness (union accuracy) of AT models is still
low. We observe that simultaneously obtaining good union and clean accuracy is
hard since there are tradeoffs between robustness against multiple $l_p$
perturbations, and accuracy/robustness/efficiency. By analyzing the tradeoffs
from the lens of distribution shifts, we identify the key tradeoff pair among
$l_p$ attacks to boost efficiency and design a logit pairing loss to improve
the union accuracy. Next, we connect natural training with AT via gradient
projection, to find and incorporate useful information from natural training
into AT, which moderates the accuracy/robustness tradeoff. Combining our
contributions, we propose a framework called \textbf{RAMP}, to boost the
robustness against multiple $l_p$ perturbations. We show \textbf{RAMP} can be
easily adapted for both robust fine-tuning and full AT. For robust fine-tuning,
\textbf{RAMP} obtains a union accuracy up to $53.5\%$ on CIFAR-10, and $29.7\%$
on ImageNet. For training from scratch, \textbf{RAMP} achieves SOTA union
accuracy of $44.6\%$ and relatively good clean accuracy of $81.2\%$ on
ResNet-18 against AutoAttack on CIFAR-10.
- Abstract(参考訳): adversarial training (at)を使用して、1つの$l_p$ノルムで囲まれた敵の攻撃に対するロバスト性を改善する作業は相当なものである。
しかし、atモデルの多重ノルムロバスト性(結合精度)は依然として低い。
我々は,複数の$l_p$摂動に対するロバスト性と精度・ロバスト性・効率のトレードオフが存在するため,良好な結合性とクリーンな精度を同時に得ることは困難である。
分配シフトのレンズからのトレードオフを解析することにより、$l_p$攻撃中のキートレードオフペアを特定し、効率を高め、ロジットペアリング損失を設計し、結合精度を向上させる。
次に、勾配投影による自然訓練とATを接続し、自然訓練から有用な情報をATに発見し、組み込むことにより、精度/損耗トレードオフを緩和する。
コントリビューションを組み合わせることで,複数の$l_p$摂動に対するロバスト性を高めるために,‘textbf{RAMP}’というフレームワークを提案する。
我々は \textbf{ramp} をロバストな微調整とフル at の両方に容易に適用できることを示した。
堅牢な微調整のために、 \textbf{RAMP}は、CIFAR-10で最大53.5\%、ImageNetで最大29.7\%のユニオン精度を得る。
スクラッチからトレーニングするために、 \textbf{RAMP} は SOTA の結合精度が 4.6 %$ であり、比較的良好な清潔さは 81.2 %$ の ResNet-18 で CIFAR-10 で AutoAttack に対して達成している。
関連論文リスト
- Provably Adversarially Robust Nearest Prototype Classifiers [46.576144913096705]
最寄りのプロトタイプ(NPC)は、選択された距離メートル法に関して、最も近いプロトタイプのラベルを各入力ポイントに割り当てる。
以前の作業では、NPCに対して同じ$ell_p$-distanceを使用する場合、$ell_p$-threatモデルにおける最小対向摂動の低い境界を提供することができた。
本稿では,判定に $ell_p$-distances と認証に $ell_q$-threat モデルを使用する場合の複雑性について,完全な議論を行う。
論文 参考訳(メタデータ) (2022-07-14T21:22:30Z) - RUSH: Robust Contrastive Learning via Randomized Smoothing [31.717748554905015]
本稿では、対照的な事前学習がロバストネスと興味深いが暗黙の結びつきを持っているという驚くべき事実を示す。
我々は、標準的なコントラスト付き事前学習とランダムな平滑化を組み合わせた強力な対逆攻撃に対する堅牢なアルゴリズムRUSHを設計する。
我々の研究は、最先端技術と比較して、堅牢な精度が15%以上向上し、標準精度がわずかに改善されている。
論文 参考訳(メタデータ) (2022-07-11T18:45:14Z) - Removing Batch Normalization Boosts Adversarial Training [83.08844497295148]
敵の訓練(AT)は、敵の攻撃に対して深層ニューラルネットワークを防御する。
主なボトルネックは、広く使われているバッチ正規化(BN)であり、ATにおけるクリーンなおよび敵対的なトレーニングサンプルの異なる統計をモデル化するのに苦労している。
我々のNoFrost法は, 正規化自由ネットワークの最近の進歩をATに拡張する。
論文 参考訳(メタデータ) (2022-07-04T01:39:37Z) - Towards Alternative Techniques for Improving Adversarial Robustness:
Analysis of Adversarial Training at a Spectrum of Perturbations [5.18694590238069]
逆行訓練(AT)とその変種は、逆行性摂動に対するニューラルネットワークの堅牢性を改善する進歩を先導している。
私たちは、$epsilon$の値のスペクトルに基づいてトレーニングされたモデルに焦点を当てています。
ATの代替改善は、そうでなければ1ドル(約1万2000円)も出なかったでしょう。
論文 参考訳(メタデータ) (2022-06-13T22:01:21Z) - Mutual Adversarial Training: Learning together is better than going
alone [82.78852509965547]
モデル間の相互作用が知識蒸留による堅牢性に与える影響について検討する。
本稿では,複数のモデルを同時に訓練する相互対人訓練(MAT)を提案する。
MATは、ホワイトボックス攻撃下で、モデル堅牢性と最先端メソッドを効果的に改善することができる。
論文 参考訳(メタデータ) (2021-12-09T15:59:42Z) - Subspace Adversarial Training [24.47599337641455]
そこで本稿では,AT を慎重に抽出した部分空間に拘束する Sub-AT (subspace adversarial training) を提案する。
サブスペースでは、より大きなステップと大きな半径を持つシングルステップATが許容され、ロバスト性性能がさらに向上する。
われわれの純粋なシングルステップATは、CIFAR-10で8/255ドルという強力なPGD-50攻撃に対して、$mathbf51%以上の堅牢な精度に達することができる。
論文 参考訳(メタデータ) (2021-11-24T02:18:37Z) - Data Augmentation Can Improve Robustness [21.485435979018256]
アドリアルトレーニングは、トレーニング中に堅牢なテスト精度が低下し始める現象である、堅牢なオーバーフィッティングに苦しむ。
モデルウェイト平均化と組み合わせることで、データの増大がロバストな精度を大幅に向上させることを示した。
特に、$ell_infty$ 標準束縛されたサイズ $epsilon = 8/255$ の摂動に対して、我々のモデルは外部データを使わずに60.07%の堅牢な精度に達する。
論文 参考訳(メタデータ) (2021-11-09T18:57:00Z) - Robustifying $\ell_\infty$ Adversarial Training to the Union of
Perturbation Models [120.71277007016708]
我々は、広く普及しているシングルアタック$ell_infty$ ATフレームワークの機能を拡張する。
我々の手法はSNAP(Noss Augmented Processing)と呼ばれ、単一攻撃ATフレームワークの優れた副産物を利用する。
SNAPは、標準的なシングルアタックATを用いて、ネットワークパラメータとともに分布を学習する形状のノイズ増強層を持つ、与えられたディープネットをプリペイドする。
論文 参考訳(メタデータ) (2021-05-31T05:18:42Z) - Adversarial robustness against multiple $l_p$-threat models at the price
of one and how to quickly fine-tune robust models to another threat model [79.05253587566197]
対向的堅牢性を実現するために, 対向的トレーニング (AT) を単一$l_p$-threatモデルで行うことが広く議論されている。
本稿では,$l_p$-threatモデルの結合に対する対角的ロバスト性を実現するための,シンプルで効率的なトレーニング手法を開発する。
論文 参考訳(メタデータ) (2021-05-26T12:20:47Z) - Mind the box: $l_1$-APGD for sparse adversarial attacks on image
classifiers [61.46999584579775]
我々は、この効果的な脅威モデルのための最も急勾配ステップの空間性について検討する。
本稿では,小予算の反復であっても高い有効性を有するPGDの適応形式を提案する。
論文 参考訳(メタデータ) (2021-03-01T18:53:32Z) - Toward Adversarial Robustness via Semi-supervised Robust Training [93.36310070269643]
アドリラルな例は、ディープニューラルネットワーク(DNN)に対する深刻な脅威であることが示されている。
R_stand$ と $R_rob$ の2つの異なるリスクを共同で最小化することで、新しい防御手法であるロバストトレーニング(RT)を提案する。
論文 参考訳(メタデータ) (2020-03-16T02:14:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。