Generalizability of Adversarial Robustness Under Distribution Shifts

要約

実証的で認定済みの堅牢性における最近の進歩は、信頼性が高く展開可能なディープ ニューラル ネットワーク (DNN) を提供することを約束します。
その成功にもかかわらず、DNN の堅牢性の既存の評価のほとんどは、モデルがトレーニングされたのと同じ分布からサンプリングされた画像に対して行われてきました。
ただし、現実の世界では、DNN は、大きな分布の変化を示す動的な環境に展開される場合があります。
この作業では、一方では経験的および認定された敵対的堅牢性と、他方ではドメインの一般化との間の相互作用を徹底的に調査するための第一歩を踏み出します。
そのために、複数のドメインで堅牢なモデルをトレーニングし、目に見えないドメインでその精度と堅牢性を評価します。
(1) 経験的および認定されたロバスト性の両方が目に見えないドメインに一般化され、(2) 一般化のレベルは、ソース ドメインとターゲット ドメイン間の FID によって測定される入力の視覚的類似性とよく相関しません。
また、研究を拡張して、現実世界の医療アプリケーションをカバーします。このアプリケーションでは、敵対的な増強が、クリーンなデータの精度への影響を最小限に抑えてロバスト性の一般化を大幅に促進します。

要約(オリジナル)

Recent progress in empirical and certified robustness promises to deliver reliable and deployable Deep Neural Networks (DNNs). Despite that success, most existing evaluations of DNN robustness have been done on images sampled from the same distribution on which the model was trained. However, in the real world, DNNs may be deployed in dynamic environments that exhibit significant distribution shifts. In this work, we take a first step towards thoroughly investigating the interplay between empirical and certified adversarial robustness on one hand and domain generalization on another. To do so, we train robust models on multiple domains and evaluate their accuracy and robustness on an unseen domain. We observe that: (1) both empirical and certified robustness generalize to unseen domains, and (2) the level of generalizability does not correlate well with input visual similarity, measured by the FID between source and target domains. We also extend our study to cover a real-world medical application, in which adversarial augmentation significantly boosts the generalization of robustness with minimal effect on clean data accuracy.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google