要約
画像分割、ノード分類、その他多くのタスクのモデルは、単一の入力を複数のラベルにマッピングします。敵は、この単一の共有入力(例えば画像)に摂動を与えることで、複数の予測を操作することができます(例えば、複数のピクセルを誤って分類する)。集団的頑健性の証明は、この脅威モデルの下で頑健な予測の数を証明的に制限する作業である。各出力を独立に認証する以上の唯一の専用手法は、各予測が小さな受容野に関連する、厳密に局所的なモデルに限定されている。我々は、全てのタイプのモデルに対して、より一般的な集合的頑健性証明書を提案する。さらに、各出力は入力全体に依存するが、異なる入力領域に対して異なる重要度を割り当てる(例えば、画像内の近接性に基づく)、より大きなクラスのソフトローカルなモデルに対して、このアプローチが有益であることを示す。この証明書は、異なる入力領域に対するランダムな摂動の強さが、出力に対するその重要度に比例する、我々の新しい局所化ランダムスムージングアプローチに基づくものである。局所的な平滑化は、画像分割とノード分類の両方のタスクで既存の証明書をパレート支配し、同時に高い精度と強力な証明書を提供します。
要約(オリジナル)
Models for image segmentation, node classification and many other tasks map a single input to multiple labels. By perturbing this single shared input (e.g. the image) an adversary can manipulate several predictions (e.g. misclassify several pixels). Collective robustness certification is the task of provably bounding the number of robust predictions under this threat model. The only dedicated method that goes beyond certifying each output independently is limited to strictly local models, where each prediction is associated with a small receptive field. We propose a more general collective robustness certificate for all types of models. We further show that this approach is beneficial for the larger class of softly local models, where each output is dependent on the entire input but assigns different levels of importance to different input regions (e.g. based on their proximity in the image). The certificate is based on our novel localized randomized smoothing approach, where the random perturbation strength for different input regions is proportional to their importance for the outputs. Localized smoothing Pareto-dominates existing certificates on both image segmentation and node classification tasks, simultaneously offering higher accuracy and stronger certificates.
arxiv情報
| 著者 | Jan Schuchardt,Tom Wollschläger,Aleksandar Bojchevski,Stephan Günnemann |
| 発行日 | 2023-03-03 17:19:40+00:00 |
| arxivサイト | arxiv_id(pdf) |