要約
ランダム化スムージングなどの認証された防御法は、$ell_p$-norm bounded攻撃に対する信頼性の高い機械学習システムの構築に向けて有望視されている。しかし、既存の手法は、特に閉形式のない意味変換(defocus blurやpixelateなど)に対する防御が不十分であり、証明可能でない。このギャップを埋めるために、我々は一般化ランダム化スムージング(GSmooth)を提案する。これは、新しい次元拡張戦略によって、一般的な意味変換に対する頑健性を証明するための統一的な理論フレームワークである。GSmoothのフレームワークの下で、我々は、複雑な変換を近似するために代理の画像間ネットワークを使用するスケーラブルなアルゴリズムを提示する。このサロゲートモデルは、意味変換の特性を研究し、頑健性を証明するための強力なツールを提供する。複数のデータセットを用いた実験結果により、複数種類の意味変換や破損に対する頑健性認証において、代替ベースラインでは達成できない我々のアプローチの有効性を実証する。
要約(オリジナル)
Certified defenses such as randomized smoothing have shown promise towards building reliable machine learning systems against $\ell_p$-norm bounded attacks. However, existing methods are insufficient or unable to provably defend against semantic transformations, especially those without closed-form expressions (such as defocus blur and pixelate), which are more common in practice and often unrestricted. To fill up this gap, we propose generalized randomized smoothing (GSmooth), a unified theoretical framework for certifying robustness against general semantic transformations via a novel dimension augmentation strategy. Under the GSmooth framework, we present a scalable algorithm that uses a surrogate image-to-image network to approximate the complex transformation. The surrogate model provides a powerful tool for studying the properties of semantic transformations and certifying robustness. Experimental results on several datasets demonstrate the effectiveness of our approach for robustness certification against multiple kinds of semantic transformations and corruptions, which is not achievable by the alternative baselines.
arxiv情報
| 著者 | Zhongkai Hao,Chengyang Ying,Yinpeng Dong,Hang Su,Jun Zhu,Jian Song |
| 発行日 | 2022-06-09 07:12:17+00:00 |
| arxivサイト | arxiv_id(pdf) |