강력한 방어를 위한 라벨 정제: 자기 지도 라벨 정제를 통한 적대적 강건성 향상

본 연구는 라벨 노이즈로 인한 과도한 메모리화가 적대적 과적합의 주요 원인이라는 점을 밝히고, 이를 해결하기 위해 자기 지도 라벨 정제 방법을 제안한다. 이 방법은 과도하게 자신감 있는 하드 라벨을 보다 정확하고 정보적인 라벨 분포로 정제하고, 자기 증류 모델의 지식을 동적으로 통합하여 훈련을 보정한다.

본 연구는 적대적 훈련(AT)에서 발생하는 적대적 과적합 문제를 해결하기 위해 수행되었다. 연구진은 먼저 적대적 과적합과 노이즈 라벨의 과도한 메모리화 간의 연관성을 분석하였다. 이를 바탕으로 자기 지도 라벨 정제(SGLR) 방법을 제안하였다. SGLR은 다음과 같은 과정으로 이루어진다: 과도하게 자신감 있는 하드 라벨을 보다 정확하고 정보적인 라벨 분포로 정제한다. 자기 증류 모델의 지식을 동적으로 통합하여 훈련을 보정한다. 실험 결과, SGLR은 다양한 벤치마크 데이터셋과 공격 유형에서 표준 정확도와 적대적 강건성을 모두 향상시킬 수 있었다. 특히 SGLR은 적대적 과적합을 크게 완화하여 최대 56.4%의 적대적 정확도와 0.4%의 일반화 격차를 달성할 수 있었다.

적대적 훈련 모델의 gradient norm이 비단조적으로 증가하는 것은 노이즈 라벨의 과도한 메모리화를 나타낸다. 적대적 훈련 시 하드 라벨을 사용하면 훈련 정확도가 100%에 가까워지지만, 테스트 정확도는 크게 낮아진다. 제안 방법인 SGLR은 하드 라벨 대비 일반화 오차를 크게 줄일 수 있다.

"Adversarial training (AT) is currently one of the most effec-tive ways to obtain the robustness of deep neural networks against adversarial attacks." "However, most AT methods suffer from a dominant phe-nomenon that is referred to as "robust overfitting". That is, an adversarially trained model can reach almost 100% robust accuracy on the training set while the performance on the test set is much inferior, witnessing a significant gap of ad-versarial robustness." "We are motivated to design a strategy for label refinement to alleviate excessive memorization and thus the robust overfitting."