OTAD: An Optimal Transport-Induced Robust Model for Agnostic Adversarial Attack

Dit paper introduceert OTAD, een robuust model dat optimale transporttheorie combineert met convex integratie om Deep Neural Networks zowel nauwkeurig te laten trainen als gegarandeerd lokaal Lipschitz-continu te houden, waardoor ze beter bestand zijn tegen agnostische adversarial attacks dan bestaande methoden.

De kern

Stel je voor dat je een zeer slimme, maar nogal naïeve kunstenaar hebt die foto's kan herkennen. Deze kunstenaar is zo getraind dat hij een hond herkent aan de vorm van zijn oren en staart. Maar als je een heel klein, bijna onzichtbaar stipje verf op de foto van de hond plakt (een zogenaamd "adversarial perturbation"), raakt de kunstenaar in paniek en zegt: "Oh, dit is duidelijk een auto!"

Dit is het probleem met moderne kunstmatige intelligentie (AI): ze zijn kwetsbaar voor kleine trucjes. Bestaande methoden om dit op te lossen zijn vaak als een "kat-en-muisspel": je maakt de kunstenaar sterker, en de hackers vinden een nieuwe manier om hem te bedriegen. Of je probeert de kunstenaar te dwingen om heel voorzichtig te werken (Lipschitz-netwerken), maar dan wordt hij zo stijf en onzeker dat hij zelfs normale foto's niet meer goed herkent.

De auteurs van dit paper, Kuo Gai, Sicong Wang en Shihua Zhang, hebben een nieuwe oplossing bedacht genaamd OTAD. Laten we dit uitleggen met een paar creatieve analogieën.

1. De Twee-Stappen Dans: Eerst leren, dan verdedigen

Stel je voor dat je een groep dansers (de AI) hebt die een complexe dansroutine moet leren.

Stap 1: De dansers leren de routine (ResNet)
Eerst laten we de dansers gewoon hun routine oefenen. Ze zijn erg goed in het volgen van de muziek en het maken van mooie bewegingen. In de wereld van AI noemen we dit een "ResNet". Ze leren hoe ze een hond van een auto moeten onderscheiden. Ze zijn snel en accuraat, maar ze zijn nog steeds kwetsbaar: als iemand een heel klein beetje in hun oor fluistert (een aanval), kunnen ze de dans vergeten en een fout maken.

Stap 2: De "veilige zone" creëren (Optimal Transport)
Nu komt het slimme deel. De auteurs zeggen: "Laten we niet proberen de dansers de hele tijd te dwingen om stijf te staan. Laten we in plaats daarvan kijken naar de route die ze hebben afgelegd."

Ze gebruiken een wiskundig concept genaamd Optimal Transport (Optimaal Transport). Denk hierbij aan het verplaatsen van een berg zand van punt A naar punt B op de meest efficiënte manier, zonder dat er zand verdwijnt of er nieuwe zand bij komt.

• De dansers hebben een "zandberg" (de data) verplaatst naar een "doel" (de juiste naam, zoals 'hond').
• De auteurs kijken naar deze verplaatsing. Ze zeggen: "Als we deze verplaatsing goed analyseren, zien we dat de route die de dansers nemen, van nature heel soepel en veilig is, zolang we niet te ver van de normale route afwijken."

2. De "Glazen Kooi" (Convex Integration)

Hier komt de magie van OTAD. In plaats van de dansers zelf te veranderen, bouwen ze een glazen kooi om de dansroute heen.

• Het probleem: Als een hacker de danser een klein duwtje geeft, kan de danser uit de kooi springen en een fout maken.
• De oplossing van OTAD: Ze gebruiken een wiskundige techniek (Convex Integration) om de kooi zo te bouwen dat hij lokaal onbreekbaar is.
• Hoe werkt het? Als een hacker een danser duwt, kijkt de kooi naar de buurman van die danser. "Hé, jij bent een hond, en je buurman is ook een hond. Als jij een beetje op je kop staat, kijken we naar je buurman en zeggen we: 'Nee, je bent nog steeds een hond, blijf binnen de lijnen'."

Dit zorgt ervoor dat de AI Lipschitz-continu is. In gewone taal: als de input (de foto) een beetje verandert, verandert de output (het antwoord) ook maar een beetje. De AI kan niet plotseling van "hond" naar "auto" springen door een klein stipje.

3. De Snelheidstruc: De "CIP-net"

Het probleem met deze glazen kooi is dat het berekenen van de veiligste route voor elke nieuwe foto heel langzaam is (alsof je voor elke danser een nieuwe kaart moet tekenen).

Om dit op te lossen, trainen ze een tweede kunstenaar (een Transformer, genaamd CIP-net).

• Deze tweede kunstenaar heeft de "glazen kooi" al duizenden keren gezien en onthoudt precies hoe hij moet reageren.
• In plaats van de moeilijke wiskunde opnieuw te doen, kijkt deze tweede kunstenaar naar de situatie en zegt direct: "Ah, dit is veilig, antwoord is 'hond'."
• Dit maakt het systeem snel (zoals een gewone AI) maar veilig (zoals de glazen kooi).

4. Waarom is dit beter dan de rest?

• Tegen Adversarial Training: Die is als een vechtschool waar je alleen leert vechten tegen de stromen die je al kent. OTAD bouwt een fundament dat van nature veilig is.
• Tegen Lipschitz-netwerken: Die zijn als een robot die zo bang is om te vallen dat hij nauwelijks kan bewegen. OTAD laat de robot wel bewegen, maar zorgt dat hij niet kan struikelen door een klein steentje.
• Voor complexe data: Het werkt zelfs goed op moeilijke foto's (zoals ImageNet) en zelfs op data van cellen of wijnkwaliteit, omdat het gebruikmaakt van de onderliggende structuur van de data, niet alleen van oppervlakkige patronen.

Samenvatting in één zin

OTAD is als het geven van een onbreekbare, flexibele veiligheidsriem aan een slimme AI: hij kan nog steeds snel en slim bewegen, maar als iemand hem een duwtje geeft, veert hij terug naar de juiste plek in plaats van om te vallen.

De auteurs laten zien dat je niet hoeft te kiezen tussen slim zijn en veilig zijn; met de juiste wiskundige "riem" (Optimal Transport) kun je beide hebben.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "OTAD: An Optimal Transport-Induced Robust Model for Agnostic Adversarial Attack" in het Nederlands.

Probleemstelling

Diepe neurale netwerken (DNN's) zijn fundamenteel kwetsbaar voor kleine, kwaadwillige verstoringen (adversarial perturbations) van de invoerdata. Bestaande verdedigingsstrategieën hebben aanzienlijke beperkingen:

• Adversarial Training: Kan specifieke aanvallen afweren, maar blijft kwetsbaar voor sterkere, onbekende aanvallen. Het vereist vaak grote gradiënten om de doelstelling te leren, wat aanvallen juist faciliteert.
• Lipschitz-netwerken: Bieden gecertificeerde robuustheid door de Lipschitz-constante te beperken, maar missen vaak voldoende expressieve kracht en presteren suboptimaal, zelfs op eenvoudige datasets. Strikte beperkingen tijdens het trainen kunnen de modelcapaciteit om effectieve functies te vinden, belemmeren.

Het doel is een model te ontwikkelen dat zowel nauwkeurig past bij de trainingsdata als robuust is tegen onbekende verstoringen, zonder de expressiviteit van moderne architecturen (zoals ResNet en Transformer) op te offeren.

Methodologie: OTAD

De auteurs introduceren OTAD (Optimal Transport-Induced Adversarial Defense), een tweestapsmodel dat de voordelen van adversarial training en Lipschitz-netwerken combineert door gebruik te maken van de regulariteitseigenschappen van optimal transport (OT) kaarten.

1. Theoretische Basis:
Het model is gebaseerd op de theorie dat de optimale transportafbeelding de afgeleide is van een convexe functie ($\phi$) en onder bepaalde omstandigheden lokaal Lipschitz-continu is. In plaats van de volledige trainingscyclus te beperken tot Lipschitz-voorwaarden, leert het model eerst een discrete optimale transportafbeelding en past vervolgens een interpolatie toe om de lokale Lipschitz-eigenschap te garanderen.

2. Het Tweestapsproces:

• Stap 1: Training van een Discrete OT-kaart:
  Een DNN (bijvoorbeeld ResNet of Vision Transformer) wordt getraind om de data af te beelden naar features. Door het gebruik van een regularisator afgeleid van optimal transport-theorie (gebaseerd op de energie-minimalisatie van Benamou-Brenier en gewichtsdaling), benadert het netwerk de geodesische krommen in de Wasserstein-ruimte. Dit resulteert in een discrete optimale transportafbeelding $T$ die data punten $x_i$ koppelt aan features $z_i$.
• Stap 2: Interpolatie via Convex Integration Problem (CIP):
  Tijdens het inferentieproces wordt voor een nieuwe invoer $x'$ de $K$ dichtstbijzijnde buren (neighbors) in de trainingsset gezocht. Het doel is om een robuuste feature $y$ te vinden die consistent is met de discrete kaart op de trainingsset en lokaal Lipschitz-continu is.
  Dit wordt geformuleerd als een Convex Integration Problem (CIP). De auteurs tonen aan dat dit kan worden opgelost door een Quadratically Constrained Program (QCP). De oplossing van dit QCP garandeert dat de resulterende functie lokaal Lipschitz-continu is, zelfs als de oorspronkelijke DNN dat niet is.

3. Implementatie en Variaties:

• ResNet-based OTAD: Gebruikt ResNet-architecturen. De QCP wordt opgelost met een optimizer (zoals MOSEK).
• Transformer-based OTAD (OTAD-T): Breidt het concept uit naar Vision Transformers (ViT), die vanwege hun residual connections ook geodesische krommen benaderen.
• Neural Network Solver (OTAD-T-NN): Omdat het oplossen van QCP traag is, trainen de auteurs een aparte Transformer (CIP-net) om de oplossing van het QCP te benaderen. Dit maakt inferentie extreem snel en differentiabel.
• Deep Metric Learning (DML): Om de zoektocht naar de juiste buren te verbeteren (aangezien $l_2$-afstand in hoge dimensies soms misleidend is), wordt een DML-netwerk gebruikt om een betere metriek te leren voor de nabijheidszoekopdracht.

Belangrijkste Bijdragen

1. Nieuwe Architectuur: Een tweestapsmodel dat de expressieve kracht van moderne DNN's behoudt terwijl het robuustheid garandeert via de regulariteit van optimale transportkaarten.
2. Lipschitz-zonder-beperking: Het model bereikt lokale Lipschitz-continuiteit na het trainen via convex integratie, in plaats van het opleggen van strikte beperkingen tijdens het trainen, wat de expressiviteit ten goede komt.
3. Efficiëntie: De introductie van CIP-net, een neurale netwerkoplosser voor het CIP-probleem, die de inferentie tijd drastisch verlaagt ten opzichte van traditionele QCP-oplossers.
4. Schaalbaarheid: Het model is schaalbaar naar grote datasets (zoals ImageNet) door het gebruik van steekproeven van de trainingsset voor de nabijheidszoekopdracht.

Resultaten

De auteurs hebben OTAD getest op diverse datasets (MNIST, CIFAR10, ImageNet, single-cell transcriptomics en industriële tabulaire data) en vergeleken met state-of-the-art methoden (adversarial training, adversarial purification, en Lipschitz-netwerken).

• Robuustheid: OTAD presteert over het algemeen beter dan adversarial training en Lipschitz-netwerken tegen adaptieve aanvallen, waaronder gradient-free attacks (Adaptive CW, Square Attack) en BPDA + PGD.
• Verschillende Data-types: Het model werkt effectief voor zowel classificatie als regressie en is toepasbaar op complexe data (beelden) en wetenschappelijke data (genexpressie).
• Snelheid: OTAD-T-NN (met de neurale solver) is aanzienlijk sneller in inferentie dan de traditionele QCP-oplosser, terwijl het de robuustheid behoudt.
• Aanvalsresistentie: Zelfs wanneer de CIP-net wordt aangevallen met AutoAttack (een van de sterkste witte-kader aanvallen), blijft het model robuust. Dit bewijst dat de robuustheid niet het gevolg is van "gradient obfuscation" (gradiëntverduistering), maar van de onderliggende wiskundige structuur.
• Vergelijking met KNN: OTAD presteert significant beter dan een standaard K-Nearest Neighbors (KNN) classifier, wat aantoont dat de convexe interpolatie superieur is aan eenvoudige middeling van buren.

Betekenis en Toekomstperspectief

OTAD opent een nieuwe weg voor het ontwikkelen van betrouwbare en veilige deep learning-systemen. Het bewijst dat het benutten van de wiskundige eigenschappen van optimal transport (specifiek de regulariteit van de afbeelding) een krachtige methode is om kwetsbaarheden in DNN's aan te pakken zonder in te leveren op nauwkeurigheid of expressiviteit.

De auteurs wijzen op toekomstige richtingen, waaronder:

• Het optimaliseren van de samenwerking tussen meerdere netwerken (zoals bij het vinden van buren).
• Het verder verkennen van de inherente regularisatie-eigenschappen van DNN's.
• Het ontwikkelen van robuustere afstandsmaten die beter in staat zijn om semantische gelijkenis te onderscheiden van ruis in hoge dimensies.

Kortom, OTAD biedt een theoretisch onderbouwde en empirisch bewezen oplossing voor het "cat-and-mouse" spel van adversarial attacks, waarbij robuustheid wordt bereikt door de fundamentele geometrie van de data-ruimte te respecteren.