分類器の精度-ロバスト性トレードオフを適応的スムージングを用いて改善する

従来の研究では、 adversarial robustness（ adversarial に対して頑健な）なニューラル分類器を構築する多様な手法が提案されてきたが、実務家たちはそれらの手法が著しく高いクリーン精度（clean accuracy）の低下を引き起こすため、依然として導入をためらっている。本論文では、標準的な分類器と頑健性を持つ分類器の出力確率を混合する手法により、この精度-頑健性トレードオフを顕著に緩和する。ここで、標準的なネットワークはクリーン精度の最適化を目的としており、一般には頑健性を有しない。我々は、頑健なベース分類器が正例と誤例に対して示す信頼度の差が、この改善の鍵であることを示す。さらに、直感的説明と実証的証拠に加え、現実的な仮定の下で混合分類器の頑健性を理論的に保証する。また、 adversarial 入力を検出する機構を混合ネットワークに統合し、二つのベースモデルの混合割合を適応的に調整することで、頑健性を達成する際の精度損失をさらに低減する。本研究で提案する柔軟な手法「adaptive smoothing」は、既存のあるいは将来開発されるクリーン精度向上、頑健性強化、または adversarial 検出を目的とした手法と併用可能である。実験評価では、AutoAttack や適応的攻撃（adaptive attack）といった強力な攻撃手法を対象としている。CIFAR-100 データセットにおいて、本手法はクリーン精度85.21％を達成しつつ、ℓ∞-AutoAttack（ε=8/255）下での精度も38.72％を維持し、提出時点での RobustBench CIFAR-100 ベンチマークにおいて2番目に頑健な手法となり、リスト上のすべてのモデルと比較してクリーン精度を10ポイント向上させた。本手法の実装コードは、https://github.com/Bai-YT/AdaptiveSmoothing にて公開されている。