Reliable Evaluation of Adversarial Robustness with an Ensemble of Diverse Parameter free Attacks
1. Introduction
-
์ง๊ธ๊น์ง ๋ง์ adversarial defense ๋ฐฉ๋ฒ์ด ๋ํ๋ฌ์ง๋ง ์ถํ์ ๋ฑ์ฅํ ๋ฐ์ ๋ ๊ณต๊ฒฉ๋ฐฉ๋ฒ์ ๋ฌด๋์ง๋ ๋ชจ์ต๋ค์ด ๋ง์ด ๋ํ๋ฌ๋ค.
-
PGD๋ ๋ชจ๋ธ์ adversarial robustness๋ฅผ ํ๊ฐํ ์ ์๋ ์ข์ ๊ณต๊ฒฉ๋ฐฉ๋ฒ์ด์์ง๋ง ๋ค์๊ณผ ๊ฐ์ ๋ฉด์์ ์ฌ๋ฌ๊ฐ์ง ๋ฌธ์ ๋ฅผ ๊ฐ์ง๊ณ ์๋ค.
- ๊ณ ์ ๋ step size
- cross entropy loss
- ํด๋น ๋ ผ๋ฌธ์์๋ ์์ ๋๊ฐ์ง ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๋ Auto-PGD๋ฅผ ์ ์ํ๋ค. Auto-PGD๋ PGD์๋ ๋ค์๊ณผ ๊ฐ์ ๋ฉด์์ ์ฐจ์ด๋ฅผ ๋ณด์ธ๋ค.
- step size๊ฐ adaptiveํ๊ฒ ์ ํ์ด ๋๋ค.
- cross entropy loss์๋ ๋ณ๋์ ์์คํจ์๊ฐ ์ฌ์ฉ๋๋ค.
- ์กฐ์ ๊ฐ๋ฅํ parameter๋ก gradient step upadte์ ๋ฐ๋ณตํ์๋ง์ผ๋ก ์ค์ ํ์ฌ ์ฃผ์ด์ง ์์์ ์๋ง๊ฒ adpativeํ ๊ณต๊ฒฉ์ ํ ์ ์๋๋ก ์ค์ ํ์๋ค.
- ๋ํ ๊ณต๊ฒฉ๋ฐฉ๋ฒ์ ๋ค์์ฑ ๋ถ์กฑ์ ๋ชจ๋ธ์ robustness๋ฅผ ๊ณผ๋ํ๊ฐ ํ๋๋ก ๋ง๋ค์๋ค. ์ด๋ฌํ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํด ๋ค์ํ ๊ณต๊ฒฉ๋ฐฉ๋ฒ์ ensembleํ AutoAttack์ ์ ์ํ๋ค.
2. Adversarial example and PGD
Adversarial example์ ๋ค์๊ณผ ๊ฐ์ด ์์ฑ๋๋ค.
$argmax_{k=1,โฆ,K}\,g_k(z)\neq c$, $d(x_{orig}, z) \le \epsilon$
์ฌ๊ธฐ์ $z$๋ adversarial sample, $c$๋ perturb ๋๊ธฐ ์ ์ ๋ถ๋ฅ๋๋ ํด๋์ค์ด๋ค.
์ต์ ์ $z$๋ฅผ ์ฐพ๊ธฐ ์ํด ๋ค์๊ณผ ๊ฐ์ surrogate ํจ์๊ฐ ์ฌ์ฉ๋๋ค.
$max_{z \in D}L(g(z), c)$ such that $\gamma (x_{orig}, z) \le \epsilon, z \in D$
์ฌ๊ธฐ์ $x$ ์ $z$์ฌ์ด์ ๊ฑฐ๋ฆฌ, ์ฆ $\lVert z-x \rVert_p$๋ฅผ ์ต๋ํํ๋ ๋ฐฉํฅ์ผ๋ก x๊ฐ ์์ง์ฌ์ผ ํ๋ฏ๋ก ๋ค์๊ณผ ๊ฐ์ Projected Gradient Descent(PGD)๊ฐ ์ฌ์ฉ๋๋ค.
$k = 1,โฆ,N_{iter}$ as $x^{(k+1)} = P_s(x^{(k)}+\eta^{(k)}\nabla f(x^{(k)}))$
์ฌ๊ธฐ์ $f:R^d \to R, S \subset R^d$์ด๊ณ $P_s$๋ $S$์ ๋ํ ์ฌ์, $L$๋ก๋ cross entroy loss๊ฐ ์ฌ์ฉ๋๋ค.
3. Auto-PGD
PGD๋ 1. ๊ณ ์ ๋ step size์ 2. ์ ๊ณต๋ ์์์ ์ํฅ์ ๋ง์ด ๋ฐ์ ๋ฉด์์ ์ฌ๋ฌ ๋ถ์์ ํจ์ ๊ฐ์ง๊ณ ์๋ค.
์ด๋ฌํ ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ๊ธฐ ์ํด Auto-PGD๋ $N_{iter}$์ 1. ์ข์ ์์ ์ง์ ์ ์ฐพ๋ exploration phase, 2. ์ง๊ธ๊น์ง ์ถ์ ๋ ์ ๋ณด๋ฅผ ์ต๋ํ ์ํค๋ exploitation phase๋ก ๋๋๋ค. ์ฌ๊ธฐ์ exploration phase์์๋ ํฐ step size์ผ๋ก ๋น ๋ฅด๊ฒ ์์ ์ง์ ์ ์ฐพ๊ณ exploitation phase์์๋ ์์ step size๋ก $f$๋ฅผ ์ต๋ํ ์ํจ๋ค. ์ด๋ ๊ฒ step size์ ํฌ๊ธฐ๋ฅผ ๋ค์ํ๊ฒ ์กฐ์ ํ๋ ๊ฒ์ด Auto-PGD์ ํต์ฌ์ด๋ผ๊ณ ํ ์ ์๋ค.
๋จผ์ Auto-PGD์ ์ ์ฒด์ ์ธ ์๊ณ ๋ฆฌ์ฆ์ ์ดํด๋ณด๋ฉด ๋ค์๊ณผ ๊ฐ๋ค.
์ ์๊ณ ๋ฆฌ์ฆ์ ์์ธํ ํ๋์ฉ ์ดํด๋ณด์.
1. Gradient step: ๋จผ์ Auto-PGD์ gradient step์ PGD์ gradient step์ momentum term์ ์ถ๊ฐํ๋ค.
2. Step size selection: ๋ค์๊ณผ ๊ฐ์ ์กฐ๊ฑด์ ๋ง์กฑํ๋ฉด step size๋ฅผ ๋ฐ์ผ๋ก ๋๋๋ค. ๊ทธ๋ฆฌ๊ณ step size์ ํด๋นํ๋ ์ฒดํฌํฌ์ธํธ๋ฅผ $w_0 = 0, w_1,โฆ,w_n$๋ก ์ง์ ํ๋ค.
๋ง์ฝ ์ฒดํฌํฌ์ธํธ $w_j$๊ฐ ๋ฐ์ผ๋ก ๋๋์ด์ง๋ฉด $x^{(w_j+1)}$๋ฅผ $x_max$๋ก ์ค์ ํ๊ณ $f_max$์์๋ถํฐ ๋ค์ ์์ํด exploitation phase๋ก $f$๋ฅผ ์ต๋ํ ์ํจ๋ค. ์ด ๋ ์ฒดํฌํฌ์ธํธ $w_j$์์๋ง step size๋ฅผ ๊ฐ์์ํค๋ ๊ฒ ๋ฟ๋ง์ด ์๋ ๋ค์๊ณผ ๊ฐ์ ์ง์์ ์ธ ๊ฐ์๋ฅผ ํตํด localized search๋ฅผ ํ๊ฒ ๋ง๋ ๋ค.
$p_{j+1}-p_j$๊ฐ 0.03๋งํผ ๊ฐ์ํ๋, ์ต์ 0.06๊ฐ ๋๋๋ก ๋ง๋ค์๋ค.
Comments