最近,Diffenderfer和Kailkhura提出了一种新的范式,仅通过修剪和量化随机加权的全精度神经网络,以学习紧凑而高度准确的二进制神经网络。但是,这些多质票(MPTS)的准确性对最佳的修剪比率高度敏感,这限制了其适用性。此外,原始实施没有获得任何培训或推理速度益处。在本报告中,我们讨论了克服这些局限性的几项改进。我们通过在CIFAR-10上进行实验来展示提出的技术的好处。
translated by 谷歌翻译
提高深神经网络(DNN)对分布(OOD)数据的准确性对于在现实世界应用中接受深度学习(DL)至关重要。已经观察到,分布(ID)与OOD数据的准确性遵循线性趋势和模型表现优于该基线非常罕见(并被称为“有效鲁棒”)。最近,已经开发出一些有前途的方法来提高OOD的鲁棒性:模型修剪,数据增强和结合或零射门评估大型预审预周化模型。但是,仍然对观察有效鲁棒性所需的OOD数据和模型属性的条件尚无清晰的了解。我们通过对多种方法进行全面的经验研究来解决这个问题,这些方法已知会影响OOD鲁棒性,对CIFAR-10和Imagenet的广泛自然和合成分布转移。特别是,我们通过傅立叶镜头观察“有效的鲁棒性难题”,并询问模型和OOD数据的光谱特性如何影响相应的有效鲁棒性。我们发现这个傅立叶镜头提供了一些深入的了解,为什么某些强大的模型,尤其是夹家族的模型,可以实现稳健性。但是,我们的分析还清楚地表明,没有已知的指标始终是对OOD鲁棒性的最佳解释(甚至是强烈的解释)。因此,为了帮助未来对OOD难题的研究,我们通过引入一组预处理的模型(固定的模型),以有效的稳健性(可公开可鲁棒)解决了差距,这些模型(固有的模型)以及不同级别的OOD稳健性。
translated by 谷歌翻译
域的概括(DG)旨在学习通过使用来自多个相关源域的数据,其在测试时间遇到的看不见的域的性能保持较高的模型。许多现有的DG算法降低了表示空间中源分布之间的差异,从而有可能使靠近来源的看不见的域对齐。这是由分析的动机,该分析解释了使用分布距离(例如Wasserstein距离)与来源的分布距离(例如Wasserstein距离)的概括。但是,由于DG目标的开放性,使用一些基准数据集对DG算法进行全面评估是一项挑战。特别是,我们证明了用DG方法训练的模型的准确性在未见的域中,从流行的基准数据集生成的未见域有很大差异。这强调了DG方法在一些基准数据集上的性能可能无法代表其在野外看不见的域上的性能。为了克服这一障碍,我们提出了一个基于分配强大优化(DRO)的通用认证框架,该框架可以有效地证明任何DG方法的最差性能。这使DG方法与基准数据集的经验评估互补的DG方法无关。此外,我们提出了一种培训算法,可以与任何DG方法一起使用,以改善其认证性能。我们的经验评估证明了我们方法在显着改善最严重的损失(即降低野生模型失败的风险)方面的有效性,而不会在基准数据集上产生显着的性能下降。
translated by 谷歌翻译
深度学习方法通过依靠极大的大量参数化神经网络来提供许多应用程序的最先进性能。但是,此类网络已被证明非常脆弱,并不能很好地概括为新用途案例,并且通常很难在资源有限的平台上部署。模型修剪,即减少网络的大小,是一种广泛采用的策略,可以导致更健壮和可推广的网络 - 通常较小的数量级,具有相同甚至改善的性能。尽管有许多用于修剪模型的启发式方法,但我们对修剪过程的理解仍然有限。实证研究表明,某些启发式方法可以改善性能,而另一些可以使模型更脆或具有其他副作用。这项工作旨在阐明不同的修剪方法如何改变网络的内部功能表示以及对模型性能的相应影响。为了提供模型特征空间的有意义的比较和表征,我们使用三个几何指标,这些指标是从共同采用的分类损失中分解的。使用这些指标,我们设计了一个可视化系统,以突出修剪对模型预测以及潜在功能嵌入的影响。所提出的工具为探索和研究修剪方法以及修剪和原始模型之间的差异提供了一个环境。通过利用我们的可视化,ML研究人员不仅可以识别模型修剪和数据损坏的样本,而且还可以获得有关某些修剪模型如何实现出色鲁棒性能的见解和解释。
translated by 谷歌翻译
为了在单一源领域的概括中取得成功,最大化合成域的多样性已成为最有效的策略之一。最近的许多成功都来自预先指定模型在培训期间暴露于多样性类型的方法,因此它最终可以很好地概括为新领域。但是,基于na \“基于多样性的增强也不能因为它们无法对大型域移动建模,或者因为预先指定的变换的跨度不能涵盖域概括中通常发生的转移类型。解决这个问题,我们提出了一个新颖的框架,该框架使用神经网络使用对抗学习的转换(ALT)来建模可欺骗分类器的合理但硬的图像转换。该网络是为每个批次的随机初始初始初始初始初始初始化的,并培训了固定数量的步骤。为了最大化分类错误。此外,我们在分类器对干净和转化的图像的预测之间实现一致性。通过广泛的经验分析,我们发现这种对抗性转换的新形式同时实现了多样性和硬度的目标,并超越了所有现有技术,以实现竞争性的所有技术单源域概括的基准。我们还显示了T HAT ALT可以自然地与现有的多样性模块合作,从而产生高度独特的源域,导致最先进的性能。
translated by 谷歌翻译
经过认证的稳健性保证衡量模型对测试时间攻击的稳健性,并且可以评估模型对现实世界中部署的准备情况。在这项工作中,我们批判性地研究了对基于随机平滑的认证方法的对抗鲁棒性如何在遇到配送外(OOD)数据的最先进的鲁棒模型时改变。我们的分析显示了这些模型的先前未知的漏洞,以低频OOD数据,例如与天气相关的损坏,使这些模型不适合在野外部署。为了缓解这个问题,我们提出了一种新的数据增强方案,Fourimix,产生增强以改善训练数据的光谱覆盖范围。此外,我们提出了一种新规范器,鼓励增强数据的噪声扰动的一致预测,以提高平滑模型的质量。我们发现Fouriermix增强有助于消除可认真强大的模型的频谱偏差,使其能够在一系列ood基准上实现明显更好的稳健性保证。我们的评估还在突出模型的光谱偏差时揭示了当前的OOD基准。为此,我们提出了一个全面的基准套件,其中包含来自光谱域中不同区域的损坏。对拟议套件上流行的增强方法培训的模型的评估突出了它们的光谱偏差,并建立了富硫克斯训练型模型在实现整个频谱上变化下的更好认证的鲁棒性担保的优势。
translated by 谷歌翻译
无监督的域适应(UDA)通过将知识从标记的源域传送到与目标的分布不同的标记源域来实现跨域学习。但是,UDA并不总是成功,在文献中报告了几个“负转移”的几个账目。在这项工作中,我们在目标域错误上证明了一个简单的下限,这些错误符合现有的上限。我们的界定显示了最小化源域误差和边际分布不匹配的不足,因为由于可能的诱导标记功能不匹配可能增加,因此由于可能的增加而减少目标域误差。通过同一UDA方法成功,失败的简单分布进一步说明了这种不足,并且可以成功或失败,并且可以使用相同的机会。从此激励,我们提出了新的数据中毒攻击,以欺骗UDA方法进入产生大目标域错误的学习陈述。我们使用基准数据集评估这些攻击对流行的UDA方法的影响,他们以前已经证明是成功的。我们的结果表明,中毒可以显着降低目标域精度,在某些情况下将其降至近0%,在源域中添加了10%中毒数据。这些UDA方法的失败在保证与我们下限符合的跨域泛化时,他们的局限性阐述了它们的局限性。因此,评估诸如数据中毒等对逆势设置中的UDA方法提供了更好的稳健性对UDA不利的数据分布。
translated by 谷歌翻译
野外的深度学习(DL)的成功采用需要模型:(1)紧凑,(2)准确,(3)强大的分布换档。不幸的是,同时满足这些要求的努力主要是不成功的。这提出了一个重要问题:无法创建紧凑,准确,强大的深神经网络(卡)基础?为了回答这个问题,我们对流行的模型压缩技术进行了大规模分析,该技术揭示了几种有趣模式。值得注意的是,与传统的修剪方法相比(例如,微调和逐渐修剪),我们发现“彩票式风格”方法令人惊讶地用于生产卡,包括二进制牌。具体而言,我们能够创建极其紧凑的卡,与其较大的对应物相比,具有类似的测试精度和匹配(或更好)的稳健性 - 仅通过修剪和(可选)量化。利用卡的紧凑性,我们开发了一种简单的域 - 自适应测试时间合并方法(卡片 - 甲板),它使用门控模块根据与测试样本的光谱相似性动态地选择相应的卡片。该拟议的方法建立了一个“赢得胜利”的卡片,即在CiFar-10-C精度(即96.8%标准和92.75%的鲁棒)和CiFar-100- C精度(80.6%标准和71.3%的稳健性),内存使用率比非压缩基线(Https://github.com/robustbench/robustbench提供的预制卡和卡片 - 甲板)。最后,我们为我们的理论支持提供了理论支持经验研究结果。
translated by 谷歌翻译
2020-02-27
由于机器学习(ML)系统变得普遍存在,因此保护其安全性至关重要。然而,最近已经证明,动机的对手能够通过使用语义转换扰乱测试数据来误导ML系统。虽然存在丰富的研究机构,但为ML模型提供了可提供的稳健性保证,以防止$ \ ell_p $ norm界限对抗对抗扰动,抵御语义扰动的保证仍然很广泛。在本文中,我们提供了TSS - 一种统一的框架,用于针对一般对抗性语义转换的鲁棒性认证。首先,根据每个转换的性质,我们将常见的变换划分为两类,即可解决的(例如,高斯模糊)和差异可解的(例如,旋转)变换。对于前者,我们提出了特定于转型的随机平滑策略并获得强大的稳健性认证。后者类别涵盖涉及插值错误的变换,我们提出了一种基于分层采样的新方法,以证明稳健性。我们的框架TSS利用这些认证策略并结合了一致性增强的培训,以提供严谨的鲁棒性认证。我们对十种挑战性语义转化进行了广泛的实验,并表明TSS显着优于现有技术。此外,据我们所知,TSS是第一种在大规模想象数据集上实现非竞争认证稳健性的方法。例如,我们的框架在ImageNet上实现了旋转攻击的30.4%认证的稳健准确性(在$ \ PM 30 ^ \ CIC $)。此外,要考虑更广泛的转换,我们展示了TSS对自适应攻击和不可预见的图像损坏,例如CIFAR-10-C和Imagenet-C。
translated by 谷歌翻译
众所周知,即使通过核心点之间捕获数据点之间的相似性,也可以通过捕获相似性来提供准确的预测和不确定性估计,以提供准确的预测和不确定性估计。然而,传统的GP内核在捕获高维数据点之间的相似性时不是非常有效的。神经网络可用于学习在高维数据中编码复杂结构的良好表示,并且可以用作GP内核的输入。然而,神经网络的巨大数据要求使得这种方法在小数据设置中无效。为了解决代表学习和数据效率的冲突问题,我们建议通过使用概率神经网络来学习概率嵌入的深核。我们的方法将高维数据映射到低维子空间中的概率分布,然后计算这些分布之间的内核以捕获相似性。要启用端到端学习,我们可以推导出用于培训模型的功能梯度血清过程。各种数据集的实验表明,我们的方法在监督和半监督设置中占GP内核学习中的最先进。我们还将我们的方法扩展到其他小型数据范例,例如少量分类,在迷你想象网和小熊数据集上以前的方式胜过先前的方法。
translated by 谷歌翻译