3月1日深度学习的一个重要挑战是在准确性和泛化之间找到适当的平衡
模式连接最初在神经信息处理会议上提出,是一种通过增强深度学习模型的泛化能力来帮助解决这个问题的技术。无需过多讨论技术细节,以下是模式连接的工作原理:给定两个单独训练的神经网络,每个神经网络都锁定不同的最佳参数配置,您可以找到一条路径来帮助您在它们之间进行泛化,同时最大限度地减少损失准确性。模式连接有助于避免每个模型在保持其优势的同时采用的虚假敏感性。
IBM 和东北大学的人工智能研究人员已经设法应用相同的技术来解决另一个问题:堵塞对抗性后门。这是第一个使用模式连接来实现对抗鲁棒性的工作。
“值得注意的是,虽然目前对模式连通性的研究主要集中在泛化分析上,并且已经发现了快速模型集成等显着应用,但我们的结果表明,从损失景观分析的角度来看,它对对抗鲁棒性的影响是有希望的,但很大程度上是未经探索的研究方向,”人工智能研究人员在他们的论文中写道,该论文将在 2020 年国际学习代表大会上发表。
在一个假设的场景中,开发人员有两个预训练的模型,它们可能感染了对抗性后门,并希望使用一个小的干净示例数据集对它们进行微调以完成一项新任务。
模式连通性使用干净的数据集提供了两个模型之间的学习路径。然后,开发人员可以在路径上选择一个点来保持准确性,而不会太接近每个预训练模型的特定特征。
有趣的是,研究人员发现,一旦你将最终模型与极端情况稍微拉开距离,对抗性攻击的准确性就会大大下降。
“在不同的网络架构和数据集上进行评估,路径连接方法在干净数据上始终保持卓越的准确性,同时在基线方法上获得较低的攻击精度,这可以通过使用模式连接在两个模型之间找到高精度路径的能力来解释,”人工智能研究人员观察到。
模式连通性的有趣特征是它对自适应攻击具有弹性。研究人员认为,攻击者知道开发人员将使用路径连接方法来清理最终的深度学习模型。即使有了这些知识,如果无法访问开发人员用来微调最终模型的干净示例,攻击者也无法植入成功的对抗性后门。
RPI-IBM AI Research Collaboration 首席科学家 Pin-Yu Chen 说:“我们将我们的方法称为‘模型清理器’因为它旨在减轻给定(预训练)模型的对抗性影响,而不知道攻击是如何发生的。”该论文的合著者告诉TechTalks。“请注意,攻击可能是隐秘的(例如,除非存在触发器,否则后门模型会正常运行),并且我们不假设模型以外的任何先前的攻击知识都可能被篡改(例如,强大的预测性能但来自不受信任的来源)。”