Using Reed-Muller Codes for Classification with Rejection and Recovery

要約

現実世界に分類器を導入する場合、ユーザーは分類器が入力に適切に応答することを期待します。
ただし、従来の分類器は、トレーニングされた分布から遠く離れた入力を処理する機能を備えていません。
悪意のある攻撃者は、分類子に誤った出力を与えるように設計された敵対的な摂動を作成することで、この欠陥を悪用する可能性があります。
拒否付き分類手法は、ネットワークが信頼性の低い入力の分類を拒否できるようにすることで、この問題を解決しようとします。
これは、非常に敵対的な例にはうまく機能しますが、直感的に正しく分類できる、弱く摂動された画像の拒否にもつながります。
これらの問題に対処するために、私たちは、入力を修正および拒否できるリード・ミュラー誤り訂正符号にヒントを得た分類器であるリード・ミュラー集約ネットワーク (RMAggNet) を提案します。
この論文では、RMAggNet が分類プロセスでエラーを修正する機能を活用することで、異なる摂動バジェットでの複数の敵対的攻撃に対して良好な正確性を維持しながら、不正確性を最小限に抑えることができることを示しています。
これにより、少数の誤った分類が許容される状況で追加の処理の量を削減できる、代替の拒否付き分類方法が提供されます。

要約(オリジナル)

When deploying classifiers in the real world, users expect them to respond to inputs appropriately. However, traditional classifiers are not equipped to handle inputs which lie far from the distribution they were trained on. Malicious actors can exploit this defect by making adversarial perturbations designed to cause the classifier to give an incorrect output. Classification-with-rejection methods attempt to solve this problem by allowing networks to refuse to classify an input in which they have low confidence. This works well for strongly adversarial examples, but also leads to the rejection of weakly perturbed images, which intuitively could be correctly classified. To address these issues, we propose Reed-Muller Aggregation Networks (RMAggNet), a classifier inspired by Reed-Muller error-correction codes which can correct and reject inputs. This paper shows that RMAggNet can minimise incorrectness while maintaining good correctness over multiple adversarial attacks at different perturbation budgets by leveraging the ability to correct errors in the classification process. This provides an alternative classification-with-rejection method which can reduce the amount of additional processing in situations where a small number of incorrect classifications are permissible.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google