Robust Representation Consistency Model via Contrastive Denoising

要約

ディープ ニューラル ネットワーク、特にセキュリティが重要なアプリケーションでは、堅牢性が不可欠です。
この目的を達成するために、ランダム化平滑化は、敵対的な摂動に対する堅牢性を証明するための理論的な保証を提供します。
最近、拡散モデルをランダム化平滑化に使用して、標準の分類器で予測を行う前にノイズで乱れたサンプルを精製することに成功しました。
これらの方法は小さな摂動半径には優れていますが、より大きな摂動には苦戦し、古典的な方法と比較して推論中に大幅な計算オーバーヘッドが発生します。
これに対処するために、ピクセル空間の拡散軌跡に沿った生成モデリング タスクを潜在空間の識別タスクとして再定式化します。
具体的には、インスタンス識別を使用して、時間的に隣接する点を位置合わせすることで、軌跡に沿った一貫した表現を実現します。
学習した表現に基づいて微調整した後、モデルは単一の予測による暗黙的なノイズ除去と分類を可能にし、推論コストを大幅に削減します。
さまざまなデータセットに対して広範な実験を実施し、推論中の最小限の計算予算で最先端のパフォーマンスを実現します。
たとえば、私たちの方法は、すべての摂動半径にわたって ImageNet 上の拡散ベースの方法の認定精度を平均 5.3% 上回り、より大きな半径では最大 11.6% 優れており、同時に推論コストを平均 85$\times$ 削減します。
コードは https://github.com/jiachenlei/rRCM で入手できます。

要約(オリジナル)

Robustness is essential for deep neural networks, especially in security-sensitive applications. To this end, randomized smoothing provides theoretical guarantees for certifying robustness against adversarial perturbations. Recently, diffusion models have been successfully employed for randomized smoothing to purify noise-perturbed samples before making predictions with a standard classifier. While these methods excel at small perturbation radii, they struggle with larger perturbations and incur a significant computational overhead during inference compared to classical methods. To address this, we reformulate the generative modeling task along the diffusion trajectories in pixel space as a discriminative task in the latent space. Specifically, we use instance discrimination to achieve consistent representations along the trajectories by aligning temporally adjacent points. After fine-tuning based on the learned representations, our model enables implicit denoising-then-classification via a single prediction, substantially reducing inference costs. We conduct extensive experiments on various datasets and achieve state-of-the-art performance with minimal computation budget during inference. For example, our method outperforms the certified accuracy of diffusion-based methods on ImageNet across all perturbation radii by 5.3% on average, with up to 11.6% at larger radii, while reducing inference costs by 85$\times$ on average. Codes are available at: https://github.com/jiachenlei/rRCM.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google