2019年4月時点のGANに関する未解決な問題(7/7)

入門/解説

1.2019年4月時点のGANに関する未解決な問題(7/7)まとめ

・GANのディスクリミネータも分類器であるため敵対的サンプルの影響を受ける可能性はある
・しかし、従来の攻撃より偶発的攻撃と呼ばれる事になりそうな攻撃が懸念事項となる
・3つの理由により偶発的攻撃も起こりにくいと考えられるが十分な研究がされているわけではない

2.GANと敵対的サンプルの関係

以下、distill.pubより「Open Questions about Generative Adversarial Networks」の意訳です。元記事は、2019年4月9日、Augustus Odenaさんによる投稿です。

画像分類器が敵対的サンプルに苦しんでいることはよく知られています。敵対的サンプルとは、人間が知覚できない摂動(小さな攪乱/ズレ)を持ち、画像分類器が誤った出力を出す原因となるような画像です。また、論文「Adversarial examples from computational constraints」や「Efficient noise-tolerant learning from statistical queries」で言及されたように、通常は効率的に学習することができますが、指数関数的に学習するのが困難な分類問題がある事も知られています。

GANのディスクリミネータは画像分類器であるので、それが敵対的サンプルに苦しんでいるのではないかと心配するかもしれません。GANに関する膨大な数の文献や敵対的サンプルの例にもかかわらず、それらがどのように関連しているかについて多くの研究があるようには思われません。

これは私達を第7の質問に導きます。

ディスクリミネータの敵対的サンプルに対する頑強性はGANのトレーニングにどのように影響しますか?

この問題についてどうやって考え始めることができるでしょうか。 識別器Dを考ましょう。Dに対する敵対的な例が存在するとは、偽物として正しく分類されるジェネレータが生成するサンプルG(z)と、G(z)+pが本物として分類されるような小さな摂動pがある場合です。

GANの場合、ジェネレータの勾配更新によって新しいジェネレータG’が生成され、G'(z) = G(z)+pになることが懸念事項です。

この懸念は現実的でしょうか?

論文「ADVERSARIAL EXAMPLES FOR GENERATIVE MODELS」は、生成的モデルへの意図的な攻撃はうまくいくことを示していますが、私たちは「偶発的攻撃(accidental attack)」と呼ばれる事になるかもしれない何かについてもっと心配しています。

これらの偶発的な攻撃は起こりにくいと信じる理由があります。

第1に、ジェネレータはディスクリミネータが更新される前に1回だけ勾配更新をすることを許されます。対照的に、現在の敵対的サンプルによる攻撃は通常数十回の繰り返しで実行されます。

第2に、ジェネレータは以前のバッチサンプルを考慮して最適化されており、このバッチは勾配ステップ毎に異なります。

最後に、最適化は、ピクセル空間ではなくジェネレータのパラメータの空間で行われます。

しかし、これらの議論のどれも、敵対的な例を作成するジェネレータを決定的に除外していません。 これはさらなる探求のための有益なトピックだと思います。

謝辞
Colin Raffel, Ben Poole, Eric Jang, Dustin Tran, Alex Kurakin, David Berthelot, Aurko Roy, Ian Goodfellow, そしてMatt Hoffmanに助けになる議論とフィードバックを頂き感謝の意を表します。私たちは特に本文に関してかなりのフィードバックを提供し、編集を手伝ってくれたChris Olahに感謝したいと思います。

3.2019年4月時点のGANに関する未解決な問題(7/7)関連リンク

1)distill.pub
Open Questions about Generative Adversarial Networks

2)arxiv.org
Towards Deep Learning Models Resistant to Adversarial Attacks
Adversarial examples for generative models
Adversarial examples from computational constraints

コメント

タイトルとURLをコピーしました