Certified Adversarial Robustness Within Multiple Perturbation Bounds

要約

タイトル：複数摂動バウンド内の認定された敵対的頑健性

要約：
– ランダム化スムージングは、$\ell_2$ノルムによる摂動に対する認定された防御としてよく知られています。この技術では、推論中に入力をランダムノイズ摂動で予測し、最も可能性の高いクラスを出力することで、スムージングされた分類器を作成します。
– 以前の研究では、ガウス分布からサンプリングされたノイズを使用したことで、ランダム化スムージングは$\ell_2$ノルム摂動に対する頑健性を示しました。しかし、後の研究では、他の$\ell_p$ノルムバウンドに対して異なるノイズ分布が頑健性を発揮することを示しました。
– 本研究では、複数の摂動バウンドに対する認定された敵対的頑健性を同時に向上させることを目的としています。このため、異なるノイズ分布を組み合わせて認定結果を最適化する認証手法を提案しています。また、$\ell_1$と$\ell_2$摂動ノルムの両方で認証を向上させるため、新しいトレーニングノイズ分布とトレーニングスキームを提案しています。
– 以前の研究からの異なる点は、教師あり分類器の認定された頑健性の比較について、トレーニングと認定に使用されるノイズレベルが固定されているわけではなく、自然な（クリーンな）正答率に基づいていることです。
– 本提案手法は、ACR (Average Certified Radius)メトリックにおいて、$\ell_1$と$\ell_2$摂動バウンドの両方で改善を達成しています。

要約(オリジナル)

Randomized smoothing (RS) is a well known certified defense against adversarial attacks, which creates a smoothed classifier by predicting the most likely class under random noise perturbations of inputs during inference. While initial work focused on robustness to $\ell_2$ norm perturbations using noise sampled from a Gaussian distribution, subsequent works have shown that different noise distributions can result in robustness to other $\ell_p$ norm bounds as well. In general, a specific noise distribution is optimal for defending against a given $\ell_p$ norm based attack. In this work, we aim to improve the certified adversarial robustness against multiple perturbation bounds simultaneously. Towards this, we firstly present a novel \textit{certification scheme}, that effectively combines the certificates obtained using different noise distributions to obtain optimal results against multiple perturbation bounds. We further propose a novel \textit{training noise distribution} along with a \textit{regularized training scheme} to improve the certification within both $\ell_1$ and $\ell_2$ perturbation norms simultaneously. Contrary to prior works, we compare the certified robustness of different training algorithms across the same natural (clean) accuracy, rather than across fixed noise levels used for training and certification. We also empirically invalidate the argument that training and certifying the classifier with the same amount of noise gives the best results. The proposed approach achieves improvements on the ACR (Average Certified Radius) metric across both $\ell_1$ and $\ell_2$ perturbation bounds.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI