Lethal Dose Conjecture on Data Poisoning

要約

データポイズニングとは、機械学習アルゴリズムの学習セットを悪意のある目的のために歪曲する敵対者を考える。本研究では、データポイズニングの基礎に関する一つの推測を明らかにし、これをLethal Dose Conjectureと呼ぶ。この仮説は以下の通りです。正確な予測のために$n$個のクリーンな訓練サンプルが必要な場合、サイズ$N$個の訓練セットにおいて、精度を確保しながら$Theta(N/n)$個の毒入りサンプルだけを許容することが可能である。理論的には、この推測を複数のケースで検証する。また、分布の識別を通じて、この予想のより一般的な観点を提供する。Deep Partition Aggregation (DPA) とその拡張である Finite Aggregation (FA) は、データポイズニングに対する証明可能な防御のための最近のアプローチであり、与えられた学習器を用いて訓練セットの異なる部分集合から訓練した多くの基本モデルの多数決によって予測します。この推測は、DPAとFAの両方が（漸近的に）最適であることを意味しています。つまり、最もデータ効率の良い学習器があれば、それをデータポイズニングに対する最も堅牢な防御の1つに変えることができるのです。このように、データ効率の良い学習器を見つけることによって、ポイズニングに対するより強力な防御策を開発するための実用的なアプローチを概説しています。経験的に、概念実証として、基本学習器に異なるデータ補強を用いるだけで、CIFAR-10とGTSRBにおけるDPAの認証堅牢性を、精度を犠牲にすることなくそれぞれ2倍、3倍にできることを示す。

要約(オリジナル)

Data poisoning considers an adversary that distorts the training set of machine learning algorithms for malicious purposes. In this work, we bring to light one conjecture regarding the fundamentals of data poisoning, which we call the Lethal Dose Conjecture. The conjecture states: If $n$ clean training samples are needed for accurate predictions, then in a size-$N$ training set, only $\Theta(N/n)$ poisoned samples can be tolerated while ensuring accuracy. Theoretically, we verify this conjecture in multiple cases. We also offer a more general perspective of this conjecture through distribution discrimination. Deep Partition Aggregation (DPA) and its extension, Finite Aggregation (FA) are recent approaches for provable defenses against data poisoning, where they predict through the majority vote of many base models trained from different subsets of training set using a given learner. The conjecture implies that both DPA and FA are (asymptotically) optimal — if we have the most data-efficient learner, they can turn it into one of the most robust defenses against data poisoning. This outlines a practical approach to developing stronger defenses against poisoning via finding data-efficient learners. Empirically, as a proof of concept, we show that by simply using different data augmentations for base learners, we can respectively double and triple the certified robustness of DPA on CIFAR-10 and GTSRB without sacrificing accuracy.

arxiv情報

提供元, 利用サービス

arxiv.jp, DeepL