GSmooth: Certified Robustness against Semantic Transformations via Generalized Randomized Smoothing

要約

ランダム化された平滑化などの認定された防御策は、$ \ell_p$-標準の有界攻撃に対して信頼性の高い機械学習システムを構築することを約束しています。
ただし、既存の方法では、セマンティック変換、特に実際にはより一般的で制限のない閉じた形式の式（焦点ぼけやピクセル化など）がない場合は、不十分であるか、確実に防御できません。
このギャップを埋めるために、一般化されたランダム化平滑化（GSmooth）を提案します。これは、新しい次元拡張戦略を介して一般的な意味変換に対するロバスト性を証明するための統一された理論的フレームワークです。
GSmoothフレームワークの下で、代理画像間ネットワークを使用して複雑な変換を近似するスケーラブルなアルゴリズムを提示します。
サロゲートモデルは、セマンティック変換のプロパティを調査し、堅牢性を証明するための強力なツールを提供します。
いくつかのデータセットでの実験結果は、代替ベースラインでは達成できない、複数の種類のセマンティック変換および破損に対する堅牢性認証のアプローチの有効性を示しています。

要約(オリジナル)

Certified defenses such as randomized smoothing have shown promise towards building reliable machine learning systems against $\ell_p$-norm bounded attacks. However, existing methods are insufficient or unable to provably defend against semantic transformations, especially those without closed-form expressions (such as defocus blur and pixelate), which are more common in practice and often unrestricted. To fill up this gap, we propose generalized randomized smoothing (GSmooth), a unified theoretical framework for certifying robustness against general semantic transformations via a novel dimension augmentation strategy. Under the GSmooth framework, we present a scalable algorithm that uses a surrogate image-to-image network to approximate the complex transformation. The surrogate model provides a powerful tool for studying the properties of semantic transformations and certifying robustness. Experimental results on several datasets demonstrate the effectiveness of our approach for robustness certification against multiple kinds of semantic transformations and corruptions, which is not achievable by the alternative baselines.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google