要約
画像セグメンテーション、ノード分類、およびその他の多くのタスクのモデルは、単一の入力を複数のラベルにマップします。
この単一の共有入力 (画像など) を乱すことで、攻撃者はいくつかの予測を操作できます (たとえば、いくつかのピクセルを誤分類する)。
集合的な堅牢性認定は、この脅威モデルの下での堅牢な予測の数を証明可能に制限するタスクです。
各出力を個別に認証する以上の唯一の専用方法は、各予測が小さな受容野に関連付けられている厳密にローカルなモデルに限定されています。
すべてのタイプのモデルに対してより一般的な集合的ロバスト性証明書を提案し、さらに、このアプローチが、各出力が入力全体に依存しているが、異なる入力領域に異なるレベルの重要性を割り当てる、より大きなクラスのソフト ローカル モデルに有益であることを示します (
たとえば、画像内の近接性に基づいています)。
証明書は、さまざまな入力領域のランダムな摂動強度が出力の重要性に比例する、新しいローカライズされたランダム化された平滑化アプローチに基づいています。
ローカライズされた平滑化は、画像セグメンテーションとノード分類タスクの両方で既存の証明書をパレート支配し、同時により高い精度とより強力な保証を提供します。
要約(オリジナル)
Models for image segmentation, node classification and many other tasks map a single input to multiple labels. By perturbing this single shared input (e.g. the image) an adversary can manipulate several predictions (e.g. misclassify several pixels). Collective robustness certification is the task of provably bounding the number of robust predictions under this threat model. The only dedicated method that goes beyond certifying each output independently is limited to strictly local models, where each prediction is associated with a small receptive field. We propose a more general collective robustness certificate for all types of models and further show that this approach is beneficial for the larger class of softly local models, where each output is dependent on the entire input but assigns different levels of importance to different input regions (e.g. based on their proximity in the image). The certificate is based on our novel localized randomized smoothing approach, where the random perturbation strength for different input regions is proportional to their importance for the outputs. Localized smoothing Pareto-dominates existing certificates on both image segmentation and node classification tasks, simultaneously offering higher accuracy and stronger guarantees.
arxiv情報
著者 | Jan Schuchardt,Tom Wollschläger,Aleksandar Bojchevski,Stephan Günnemann |
発行日 | 2022-10-28 14:10:24+00:00 |
arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google