44 のモデル、RobustART は CNN、Transformer、MLP-Mixer を評価しますが、最も堅牢なものはどれでしょうか?

[[424811]]

北京航空航天大学、SenseTime、JD Discovery Instituteなど。

北京航空航天大学、SenseTime、JD Discovery Instituteなどの研究者らは、大規模なImageNetデータセットにおけるモデル構造とトレーニング手法、および複数のノイズタイプに対する初のモデル堅牢性評価ベンチマークであるRobustARTを提案した。このベンチマークでは、44 の従来の手動設計モデル アーキテクチャと 1,200 の NAS サンプリング モデル アーキテクチャ、および 10 を超えるモデル トレーニング手法が堅牢性に与える影響を総合的に評価します。

ディープラーニングに代表される人工知能技術は、コンピュータービジョン、音声認識、自然言語処理などの分野で大きな進歩を遂げ、私たちの生活の多くの分野で広く活用され、極めて重要な役割を果たしています。しかし、現実世界のアプリケーション シナリオのオープン性により、ビッグ データ トレーニングと経験的ルールに基づく従来の人工知能手法 (ディープラーニングなど) では、自然ノイズ、敵対的ノイズなどのノイズを含む入力サンプルという課題に直面しています。こうした小さなノイズは、ディープラーニング モデルの堅牢性とセキュリティに大きな課題をもたらし、社会の安定、さらには公共の安全にも大きな影響を及ぼす可能性があります。

ノイズに対してより堅牢なモデルはどれですか?どのモデル アーキテクチャとコンポーネントがノイズに対してより耐性がありますか?これらの問題に関する研究は、モデルの堅牢性の本質をより深く理解するのに役立ち、研究者がより堅牢なモデル アーキテクチャを設計するのに役立ちます。さらに、これは産業グレードの堅牢なモデルの評価と応用を促進し、最終的には関連する国家インテリジェントモデル堅牢性評価標準の推進と開発に役立つという大きな意義があります。そこで、北京航空航天大学、SenseTime、JD Discovery Research Instituteの研究者らは、カリフォルニア大学バークレー校、オックスフォード大学、ジョンズ・ホプキンス大学と共同で、大規模データセットImageNetと複数のノイズタイプにおけるモデル構造（ AR設計）とトレーニング手法（トレーニング手法）に関する初のモデル堅牢性評価ベンチマークであるRobustARTを提案した。

このベンチマークは、44 種類の従来の手作業で設計されたモデル アーキテクチャと 1,200 種類の NAS サンプリングされたモデル アーキテクチャ、および 10 種類を超えるモデル トレーニング手法が堅牢性 (ノイズ、自然ノイズ、システム ノイズなどに対する) に与える影響を総合的に評価します。大規模かつ徹底的な実験研究を通じて、次のような多数の貴重な実験結果と多くの刺激的な結論が得られました。

（１）TransformerとMLP-Mixerの場合、敵対的トレーニングにより全体的なノイズ耐性とタスク自体の有効性が総合的に向上する。

（２）同じモデルサイズを前提とした場合、自然ノイズとシステムノイズに対する堅牢性はCNN>Transformer>MLP-Mixer、敵対的ノイズに対する堅牢性はTransformer>MLP-Mixer>CNNとなる。

（３）一部の軽量モデルファミリーでは、モデルサイズを大きくしたりトレーニングデータを増やしても堅牢性は向上しない。これらの分析と結論は、モデルの堅牢性メカニズムを理解し、安全で安定したモデル アーキテクチャを設計する上で非常に重要です。

RobustARTベンチマークは、(1)リーダーボード、データセット、ソースコードなどの詳細情報を含むオープンソースプラットフォームを提供します。(2)さまざまなモデル構造とトレーニング手法を使用する80を超える事前トレーニング済みモデルを公開し、研究者が堅牢性評価を実施できるようにします。(3)新しい視点と多数の分析的結論を提供し、研究者が堅牢なモデルの背後にある内部メカニズムをより深く理解できるようにします。

RobustARTは、Beihangチームが以前に開発した人工知能アルゴリズムとモデルセキュリティ評価環境である「Chongming」システムのコアコンポーネントとして統合され、 「Chongming」2.0バージョンがリリースされます（「Chongming」は、中国を代表するインテリジェントセキュリティ評価環境であり、国家の新世代人工知能オープンソースコミュニティであるOpenIオープンソースプラットフォームにリリースするよう招待され、OpenIコミュニティの優れたオープンソースプロジェクトを獲得しました）。 RobustART は今後も、より完全で使いやすいオープンソースの堅牢性評価および研究フレームワークをコミュニティ全体に提供していきます。同時に、産業グレードのモデルの評価と堅牢なモデルの実装にも役立ちます。最終的には、インテリジェントモデルの堅牢な評価とタスクの実装に関する国家標準の推進に貢献したいと考えています。

• 論文アドレス: https://arxiv.org/pdf/2109.05211.pdf
• RobustART オープンソース プラットフォームの Web サイト: http://robust.art/
• 崇明プラットフォーム URL: https://github.com/DIG-Beihang/AISafety

1. 概要

現在の堅牢性ベンチマークは、主に敵対的防御方法の有効性を評価することに重点を置いており、モデル構造とトレーニング手法が堅牢性に与える影響は無視されています。これらの要素は、モデルの堅牢性にとって非常に重要です。微妙な違い (トレーニングで使用されるデータ拡張方法の違いなど) により、防御方法の堅牢性への影響が隠され、モデルの堅牢性の評価と理解が不正確になる可能性があります。そこで本論文では、異なるモデル構造とトレーニング手法が堅牢性に与える影響を総合的に評価するRobustARTを提案し、敵対的ノイズ（AutoAttack、PGDなど）、自然ノイズ（ImageNet-A、-O、-C、-Pなど）、システムノイズ（ImageNet-Sなど）下での総合評価を実施します。次の表は、調査した 44 の従来のネットワーク モデルの中で、さまざまなノイズに対する堅牢性に関して上位 5 つのモデルを示しています (公平な比較のため、すべてのモデルのトレーニング設定が揃えられています)。

2. モデル構造とトレーニング手法を考慮した堅牢性ベンチマーク

モデルの堅牢性の本質をより深く探究するために、本研究では、モデルの堅牢性に影響を与える要因を、モデル構造とトレーニング手法という 2 つの直交する要因に分けました。次に、(1) 同じトレーニング手法を使用して異なるネットワーク構造のモデルをトレーニングする、(2) 異なるトレーニング手法を使用して同じネットワーク構造のモデルをトレーニングするという、一連のベンチマーク設定を構築しました。このタイプのセグメント化されたアブレーション研究は、特定のモデル構造またはトレーニング手法が堅牢性に与える影響をより深く理解するのに役立ちます。次の表は、研究で使用されたモデル構造、トレーニング手法、およびノイズの種類を示しています。

モデル構造の要素に関しては、本研究では、一般的に使用されているニューラルネットワークモデルを可能な限り多くカバーしました。 CNN には、ResNet、ResNeXt、WideResNet、DenseNet などの古典的な大規模構造、ShuffleNetV2 や MobileNetV2 などの軽量ネットワーク、高度にパラメータ化された構造 RepVGG、RegNet、EfficientNet、MobileNetV3 などのニューラル アーキテクチャ検索 (NAS) に基づくモデル、BigNAS スーパーネットを使用してサンプリングされたサブネットワークがあります。CNN 以外のネットワークには、ViT と DeiT、および MLP 構造に基づく最近の MLP-Mixer があります。合計 44 個の典型的な手動設計ネットワーク モデルと、スーパーネットからサンプリングされた 1,200 個のサブネットワーク モデルのトレーニング設定が実験で調整されます。

トレーニング手法の要素に関しては、知識蒸留、自己教師ありトレーニング、重み平均化、重み再パラメータ化、ラベル平滑化、ドロップアウト、データ拡張、大規模事前トレーニング、敵対的トレーニング、さまざまな最適化ツールなど、いくつかの主流の手法を調査のために選択しました。実験では、いくつかのモデル構造が選択され、トレーニング手法の有無によるトレーニングの効果を比較することで、トレーニング手法がモデルの堅牢性に及ぼす役割が調査されました。

モデルの堅牢性を包括的かつ完全に評価するために、本研究では、敵対的ノイズ、自然ノイズ、システムノイズの 3 種類のノイズを選択してモデルをテストしました。その中で、ノイズ対策として、FGSM、PGDなど、さまざまな攻撃強度と白黒ボックス攻撃をカバーする8つの主流の敵対的攻撃手法が選択されました。

、オートアタック-

、

、転送ベースの敵対的攻撃について検討しました。自然ノイズについては、ImageNet-C、ImageNet-P、ImageNet-A、ImageNet-O の 4 つの主流データセットが選択されました。システム ノイズについては、ImageNet-S データセットが選択されました。さらに、評価対象とするノイズの種類ごとに、対応する評価指標が選択されます。

RobustARTは、全体として階層的かつモジュール型のフレームワーク設計を採用しています。下図に示すように、最下層のディープラーニングフレームワークとしてPytorchを使用し、FoolBoxやARTなどの敵対的ツールライブラリを使用し、複数のデータセットのサポートを提供しています。ユーザー インターフェース レベルは、主にモデル、トレーニング、ノイズ、評価の 4 つのモジュールに分かれています。各モジュールは、ユーザーが使用できる呼び出し可能な API を提供します。 RobustARTオープンソースフレームワークを使用することで、ユーザーは（1）提供されたコードを簡単に使用して結果を再現し、より詳細な分析を行うことができます。（2）提供されたAPIを介して新しいモデル、トレーニング手法、ノイズ、評価指標などを追加して、より多くの実験を行うことができます。（3）提供された事前トレーニング済みモデルと研究結果を下流のアプリケーションに使用したり、比較のベースラインとして使用したりすることができます。

3. 実験結果と分析

3.1 モデル構造が堅牢性に与える影響

この研究では、まず 13 のモデル ファミリから 44 の典型的なネットワーク モデルを選択し、調整された実験設定を使用してそれらをトレーニングし、それらの堅牢性を評価しました。次の 2 つの図は、さまざまなノイズ下でのすべてのモデルのモデル サイズと堅牢性の関係と、転送攻撃に直面した場合のヒート マップを示しています。

図のモデルの堅牢性を比較すると、次のことがわかります。

• ほぼすべてのモデル ファミリ (MobileNetV2 などの軽量モデルを除く) では、モデル サイズを大きくすると、一般化と、敵対的ノイズ、自然ノイズ、システム ノイズに対する堅牢性の両方が向上します。
• モデルのサイズが似ている場合、異なるモデル構造は堅牢性がまったく異なる可能性があります。これは、モデル構造が堅牢性にとって非常に重要であることも意味します。具体的には、ViT や MLP-Mixer などの非 CNN モデルは敵対的ノイズの下でより優れたパフォーマンスを発揮しますが、従来の CNN モデル (ResNet や ResNeXt など) は自然ノイズやシステム ノイズに対してより堅牢です。
• さまざまなノイズは、最終的な堅牢性評価結果に大きな影響を与えます。同じ種類のノイズ（敵対的ノイズなど）の場合、攻撃方法が異なるとモデルの堅牢性結果が異なる場合があります。また、同じ敵対的攻撃の場合でも、ノイズのサイズが異なると堅牢性評価結果が異なる場合があります。

この研究では、44 の一般的なネットワーク モデルに加えて、BigNAS スーパーネットから 1,200 のサブネットをサンプリングし、サブネット モデル パラメータ (モデル サイズ、入力画像のサイズ、深度、畳み込みカーネルのサイズなど) が堅牢性に与える影響を調査しました (次の図を参照)。

モデルのサイズ、畳み込みカーネルのサイズ、およびモデルの最後のステージの深さは敵対的堅牢性にプラスの影響を与えるのに対し、入力画像のサイズは敵対的堅牢性にマイナスの影響を与えることがわかります。

3.2 訓練手法が堅牢性に与える影響

この研究では、10 を超える特定のトレーニング手法を対象とし、いくつかのモデルを選択して、これらの手法がモデルの堅牢性に与える影響を評価しました。結果の一部を次の図に示します。

実験結果からは、次のような多くの有意義な結論を導き出すことができます。

• 敵対的トレーニング: CNN の場合、敵対的トレーニングによりモデルの敵対的堅牢性は向上しますが、クリーンなデータセットでの一般化と自然ノイズおよびシステムノイズに対する堅牢性は低下します。また、この研究では、ViT と MLP-Mixer の場合、敵対的トレーニングによりクリーンなデータセットでの一般化と 3 種類のノイズすべてに対する堅牢性が大幅に向上することが初めて判明しました。これは、実際のシナリオでの敵対的トレーニングの実用化にとって非常に重要です。
• ImageNet-21K 事前トレーニング: この手法により、モデルの自然ノイズに対する堅牢性は向上しますが、敵対的ノイズとシステム ノイズに対する堅牢性は低下します。
• データ拡張: この手法は、ほとんどの場合、敵対的ノイズに対するモデルの堅牢性を低減し、自然ノイズに対するモデルの堅牢性を向上させます。
• AdamW オプティマイザー: 基本的な SGD オプティマイザーと比較すると、この手法では ResNet や RegNetX などの大規模モデルの堅牢性がわずかに低下しますが、クリーン データセット上の MobileNetV3 や ShuffleNetV2 などの軽量モデルの一般化と、3 種類のノイズすべてに対する堅牢性が大幅に向上します。

IV. 展望

現在、顔認識や自動運転などの主要分野でディープラーニングモデルが広く使用されるようになり、AIセキュリティの重要性に対する認識が高まっており、AIセキュリティに関する研究や標準もさらに推進・実装する必要があります。本研究で提案された RobustART は、モデルの堅牢性を評価するための包括的かつ標準的なオープンソース プラットフォームとフレームワークを提供します。これに基づいて、多数の実験研究を実施し、多くの刺激的な結論を導き出しました。これにより、モデルの堅牢性と構造およびトレーニング手法との関係をさらに認識して理解できるようになり、堅牢性についてより包括的かつ深く理解できるようになります。この研究は、既存の防衛指向の堅牢性ベンチマークを補完し、完全な堅牢性ベンチマークを共同で構築し、機械学習コミュニティにおける堅牢性研究エコシステムの長期的な発展を促進します。