Towards Deep Learning Models Resistant to Adversarial Attacks [ICLR2018]

[futakw]

論文リンク

https://arxiv.org/abs/1706.06083

概要

Adversarial Training （AT）の分析論文（引用2000件以上の超重要論文）

1. 理論的に、AEへに対する脆弱性を分析した。
2. 理論をもとに、ATを提案した。
3. 実験をもとにいくつかの示唆を出した。

AEに脆弱であるという問題の本質は、鞍点問題だとし、内部最大化問題と外部最小化問題の合わせ技で解決するのが良いと主張。内部最大化問題は有効なAEを見つけることを指し、外部最小化問題はAEに対するadversarial lossを最小化することを指す。

結論

1. ニューラルネットの大きさは、それだけでロバスト性を増加させる。
2. FGSMは1stepであるがゆえ、ATとして使えない。
3. 弱いモデルはnatural 画像を学習するのに精一杯で、ATの意味がない。
4. ニューラルネットの大きさが大きいほど、ATの効果が高い。
5. ニューラルネットの大きいほど、またAEが強くなるほど、AEの転移性は低くなる（精度が下がらなくなる）。

先行研究との差異

手法のキモ

評価方法

議論

AEに対する脆弱性は、改善されたが、解決には至っていない。 学習コストが高いという問題もある。

関連論文