概要
パンハウスゼミのサマリです。
テーマ : Adversarial Example関係。Randomized smoothingに関する2本。
スライドリンク : https://www.slideshare.net/mobile/SimossyiFunabashi/randomized-smoothing-189645890
発表者 : しもっしー
Adversarial Exampleの最近のキーワードは「certified」。
既存のヒューリスティックなAdversarial trainingは未知の攻撃に対応できない(Carlin 2018)ので、理論保証を付けようという考えがある。
「特定の条件で、確実に(あるいは、何%の確率で)Adversarial robustである」ならcertifiedと呼ぶ。
Randomized smoothingとは?
入力にガウス摂動を乗せたとき、最大確率を与えるクラスを返す識別器を考える手法。
certifiedだが、既存のRandomized smoothing手法ではバウンドがゆるく、certified accuracy(確実にこのクラスだと言える精度)が下がってしまう。
そこで、バウンドをタイトにしようというのが今回の2本。
1本目は摂動のL_2ノルム、2本目はL_1ノルムに対して、certified accuracyを上げる事に成功した。
1本目
題名 : Certified Adversarial Robustness via Randomized Smoothing (Cohen et. al. 2019)
Paperリンク : https://arxiv.org/abs/1902.02918
新規性 : randomized smoothingの L_2のバウンドを tight にし、 既存手法を上回る
certified accuracyを達成。
クラスをMCMCで推定する。(確度が小さければ保留)
クラスの確率をMCMCで推定する。(確度が小さければ保留)
スライドの「定理2」を導き、ガウス摂動に対するrandomized smoothingのL_2のバウンドを タイト にした。
2本目
題名 : L_1 adversarial robustness certificates: a randomized smoothing approach ( Anonymous 2019(ICLR2020 のOpenreviw中のため))
Paperリンク : https://openreview.net/forum?id=H1lQIgrFDS
新規性 : randomized smoothingの L_1のバウンドを tight にした。
あるノルムで tight なバウンドでも、別のノルムでは tight とは限らない。
1本目はL_1ノルムの観点から見るとタイトではない。(ムダがある)
クラスとその確率の推定方法は前述と同じくMCMC。
ガウス分布の代わりにラプラス分布を使い、さらに 「先行研究と比較し、よりタイトなバウンドを返す方を採用する」ため、既存手法以上のcertified accuracyを達成。
今後の流れ:条件付けした場合のMCMCの高速化などの手法が来るのではないか?
メモ:adversarial attack はモデルの正解率が下がるような目的関数を入力点で微分し、勾配法で最適化することによって得られる。Adversarial robustnessが低いと、自動運転車が暴走したり、顔認証をハックしたり…というリスクが考えられる。