Core Concepts
Tiefe neuronale Netze (DNN) sind anfällig für Daten außerhalb der Verteilung (OOD) und adversarielle Beispiele, die ihre Zuverlässigkeit und Robustheit beeinträchtigen können. Diese Übersicht konzentriert sich auf den Schnittpunkt dieser beiden Bereiche und identifiziert zwei Forschungsrichtungen: Robuste OOD-Erkennung und vereinheitlichte Robustheit. Robuste OOD-Erkennung zielt darauf ab, zwischen ID-Daten und OOD-Daten zu unterscheiden, auch wenn sie adversariell manipuliert werden, um den OOD-Detektor zu täuschen. Vereinheitlichte Robustheit sucht einen einheitlichen Ansatz, um DNNs gegen adversarielle Angriffe und OOD-Eingaben robust zu machen.
Abstract
Die Übersicht beginnt mit einer Einführung in die Konzepte von Daten außerhalb der Verteilung (OOD) und adversariellen Beispielen. Sie erläutert, dass Verteilungsverschiebungen in zwei Haupttypen unterteilt werden können: semantische Verschiebungen, die neue, zuvor ungesehene Klassen betreffen, und Kovarianzverschiebungen, die subtile Modifikationen der Daten wie adversarielle Perturbationen, Stiländerungen und Domänenverschiebungen umfassen.
Die Autoren argumentieren, dass es wichtig ist, robuste Modelle zu entwickeln, die OOD-Proben erkennen und korrekte Vorhersagen für ID-Proben treffen können. Sie stellen zwei Forschungsrichtungen vor, die sich mit der Schnittmenge von OOD-Erkennung und adversarieller Robustheit befassen:
Robuste OOD-Erkennung: Hierbei geht es darum, OOD-Eingaben auch dann zu erkennen, wenn sie adversariell manipuliert wurden, um den OOD-Detektor zu täuschen. Die Methoden werden in vier Kategorien eingeteilt: Outlier-Expositions-basiert, lernbasiert, Scores-basiert und andere.
Vereinheitlichte Robustheit: Hier geht es darum, einen einheitlichen Ansatz zu finden, um DNNs sowohl gegen adversarielle Angriffe als auch gegen OOD-Eingaben robust zu machen. Die Methoden werden in vier Kategorien eingeteilt: Datenaugmentations-basiert, lernbasiert, Scores-basiert und andere.
Die Übersicht diskutiert die Vor- und Nachteile der verschiedenen Ansätze und hebt die Limitierungen der aktuellen Forschung hervor. Abschließend werden vielversprechende Forschungsrichtungen für die Zukunft vorgestellt.
Stats
"Adversarielle Beispiele können entweder auf das Hauptklassifikationsproblem (d.h. 𝛿3) oder auf den OOD-Detektor abzielen."
"Robuste OOD-Erkennung unterscheidet sich von der konventionellen adversariellen Robustheit, da sie sich darauf konzentriert, adversarielle Eingaben zu handhaben, die versuchen, den OOD-Detektor zu umgehen."
Quotes
"Primär, eine solche Herangehensweise kann den Implementierungsprozess vereinfachen und den Rechenaufwand reduzieren."
"Darüber hinaus ermöglicht ein vereinheitlichter Ansatz eine einfachere Wartung und Aktualisierung."
"Außerdem erlaubt die Vereinheitlichung der beiden Verteidigungen komplementäre Vorteile, da adversarielle Beispiele und OOD-Daten Ähnlichkeiten in ihren analogen Mustern und Verteilungen aufweisen können."