要約
ディープ ニューラル ネットワークは、敵対的攻撃に対して脆弱であることが知られています。人間には感知できない小さな摂動が、よく訓練されたディープ ニューラル ネットワークの誤分類を容易に引き起こす可能性があります。
敵対的な攻撃を防御するために、ランダム化された分類子が決定論的な分類子の堅牢な代替手段として提案されています。
この作業では、二項分類の設定では、任意のランダム化された分類器に対して、より良い敵対的リスクを持つ決定論的分類器が常に存在することを示しています。
つまり、ロバスト性のためにランダム化は必要ありません。
多くの一般的なランダム化スキームでは、リスクの高い決定論的分類器が明示的に記述されています。たとえば、分類器の集合は分類器の混合よりも堅牢であり、ランダム化された平滑化は入力ノイズ注入よりも堅牢であることを示しています。
最後に、実験により、分析するランダム化された分類子の 2 つのファミリを使用した理論的結果が確認されます。
要約(オリジナル)
Deep neural networks are known to be vulnerable to adversarial attacks: A small perturbation that is imperceptible to a human can easily make a well-trained deep neural network misclassify. To defend against adversarial attacks, randomized classifiers have been proposed as a robust alternative to deterministic ones. In this work we show that in the binary classification setting, for any randomized classifier, there is always a deterministic classifier with better adversarial risk. In other words, randomization is not necessary for robustness. In many common randomization schemes, the deterministic classifiers with better risk are explicitly described: For example, we show that ensembles of classifiers are more robust than mixtures of classifiers, and randomized smoothing is more robust than input noise injection. Finally, experiments confirm our theoretical results with the two families of randomized classifiers we analyze.
arxiv情報
| 著者 | Lucas Gnecco-Heredia,Yann Chevaleyre,Benjamin Negrevergne,Laurent Meunier |
| 発行日 | 2023-02-14 17:51:00+00:00 |
| arxivサイト | arxiv_id(pdf) |
提供元, 利用サービス
arxiv.jp, Google