投票ベースのアンサンブルは、防御モデルの堅牢性を向上させます
Voting based ensemble improves robustness of defensive models
敵対的な摂動に対するロバストモデルの開発は活発な研究分野であり、個々のロバストモデルをトレーニングするために多くのアルゴリズムが提案されています。これらの事前トレーニング済みのロバストモデルを使用して、ロバスト性をさらに向上させるためのアンサンブルを作成できるかどうかを調査することを目指しています。以前のいくつかの試みは、ソフトラベル予測をアンサンブルすることによってこの問題に取り組み、最新の攻撃方法に基づいて脆弱であることが証明されています。この論文では、ロバストなトレーニング損失が十分に多様である場合、単純なハードラベルベースの投票アンサンブルが個々のモデルのロバストエラーを高めることができることを示します。さらに、堅牢なモデルのプールを前提として、アンサンブルするモデルを選択するための原則的な方法を開発します。最後に、堅牢性の向上を検証するために、投票ベースのアンサンブルを攻撃する方法を研究し、いくつかの新しいホワイトボックス攻撃を開発するための広範な実験を実施します。 CIFAR-10データセットでは、いくつかの最先端の事前トレーニング済み防御モデルをアンサンブルすることにより、この方法は59.8%の堅牢な精度を達成し、追加のデータを使用せずに既存のすべての防御モデルを上回ります。
Developing robust models against adversarial perturbations has been an active area of research and many algorithms have been proposed to train individual robust models. Taking these pretrained robust models, we aim to study whether it is possible to create an ensemble to further improve robustness. Several previous attempts tackled this problem by ensembling the soft-label prediction and have been proved vulnerable based on the latest attack methods. In this paper, we show that if the robust training loss is diverse enough, a simple hard-label based voting ensemble can boost the robust error over each individual model. Furthermore, given a pool of robust models, we develop a principled way to select which models to ensemble. Finally, to verify the improved robustness, we conduct extensive experiments to study how to attack a voting-based ensemble and develop several new white-box attacks. On CIFAR-10 dataset, by ensembling several state-of-the-art pre-trained defense models, our method can achieve a 59.8% robust accuracy, outperforming all the existing defensive models without using additional data.
updated: Sat Nov 28 2020 00:08:45 GMT+0000 (UTC)
published: Sat Nov 28 2020 00:08:45 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト