Efficient Semi-Supervised Adversarial Training via Latent Clustering-Based Data Reduction

Deze paper introduceert efficiënte data-reductiestrategieën voor semi-supervised adversarial training door middel van latent clustering, waardoor de benodigde hoeveelheid ongelabelde data en rekentijd aanzienlijk worden verminderd zonder in te leveren op de modelrobustheid.

De kern

Stel je voor dat je een superheld wilt trainen om een stad te beschermen tegen sluw vermomde boeven (de "adversariale aanvallen"). Deze boeven zijn heel slim; ze maken kleine, nauwelijks zichtbare veranderingen aan hun uiterlijk zodat de superheld ze niet herkent.

Om deze superheld echt onverslaanbaar te maken, moet je hem duizenden uren laten oefenen met voorbeelden van deze boeven. Het probleem? Je hebt een enorme berg aan oefenmateriaal nodig. Normaal gesproken zou je de hele stad moeten doorzoeken om genoeg voorbeelden te vinden. Dit kost enorm veel tijd, energie en computerkracht.

De onderzoekers van dit paper hebben een slimme oplossing bedacht: Waarom oefenen met de hele berg, als je alleen de allerbelangrijkste steentjes nodig hebt?

Hier is hoe hun idee werkt, vertaald naar alledaagse taal:

1. Het Probleem: Te veel ruis, te weinig focus

Stel je voor dat je een student wilt leren wiskunde. Je geeft hem een stapel van 1 miljoen oefenbladen. De meeste bladen zijn heel makkelijk (de student snapt ze al) of heel moeilijk (de student raakt er volledig door in de war).

• De makkelijke bladen zijn een verlies van tijd; de student leert er niets nieuws van.
• De te moeilijke bladen zijn ook niet ideaal; de student raakt gefrustreerd.
• De gouden middenweg zijn de bladen die net op de rand van begrip liggen. Als de student deze oefent, leert hij het snelst.

In de wereld van kunstmatige intelligentie (AI) noemen we deze "rand" de beslissingsgrens. De AI weet niet zeker of een plaatje een kat of een hond is. Dat is het moment waarop de AI het hardst moet leren.

2. De Oplossing: De "Slimme Filter"

De onderzoekers zeggen: "Laten we niet 1 miljoen plaatjes gebruiken, maar laten we een slimme filter bedenken die alleen de plaatjes selecteert die precies op die 'rand' zitten."

Ze hebben twee manieren bedacht om dit te doen:

A. De "Kies de Beste" Methode (Data Selectie)

Stel je hebt een grote doos met duizenden foto's van dieren. Je wilt er maar 10% uitkiezen om je AI te trainen.

• De oude manier: Pak willekeurig 10% uit de doos. Misschien zit er veel "makkelijk" materiaal tussen.
• De nieuwe manier (LCS-KM): De AI kijkt eerst naar de foto's en maakt een mentale kaart (een "latent space"). Op deze kaart groeperen ze de dieren.
  • De analogie: Stel je voor dat de kat en de hond als twee verschillende eilanden in een oceaan liggen. De AI zoekt naar de plekken waar het water het ondiepst is, precies tussen de eilanden in. Dat zijn de plekken waar je niet zeker weet of je op het eiland van de kat of de hond staat.
  • Ze gebruiken een techniek genaamd K-Means Clustering (een soort slimme rangschikking) om precies die onzekere plekken te vinden. Ze kiezen alleen de foto's die daar liggen.
  • Resultaat: Je gebruikt 10x minder foto's, maar de AI wordt net zo sterk als met de hele doos, omdat hij zich concentreert op wat echt belangrijk is.

B. De "Geniale Kunstenaar" Methode (Geleide Generatie)

Soms heb je geen grote doos met foto's, maar moet je ze zelf maken met een AI-kunstenaar (een "Diffusion Model", zoals DALL-E of Midjourney).

• Het oude probleem: De kunstenaar maakt eerst 1 miljoen foto's, en dan gooi je er 90% weg omdat ze niet goed genoeg zijn. Dat is zonde van de tijd en energie.
• De nieuwe manier: Je geeft de kunstenaar een speciale opdracht: "Maak alleen foto's die precies op de rand tussen kat en hond liggen."
  • Ze "fijnstellen" (fine-tune) de kunstenaar zodat hij direct de juiste, zeldzame foto's maakt.
  • Resultaat: Je hoeft geen berg afval te maken. De kunstenaar maakt direct de 10% foto's die je nodig hebt.

3. Waarom is dit geweldig?

Stel je voor dat je een marathonloper traint.

• De oude methode: Je laat hem 100 rondjes om het stadion rennen, waarvan 90 rondes op een vlakke, saaie weg. Hij wordt moe, maar niet sneller.
• De nieuwe methode: Je laat hem 10 rondes rennen, maar die 10 rondes gaan over de heuvels en hellingen die hem echt sterker maken.
  • Hij is sneller klaar (minder rekentijd).
  • Hij is sterker (beter bestand tegen aanvallen).
  • Hij verbruikt minder energie (goed voor het milieu en de kosten).

Samenvatting in één zin

De onderzoekers hebben een slimme manier bedacht om AI-modellen te trainen door te stoppen met het oefenen met "makkelijke" of "willekeurige" voorbeelden, en zich in plaats daarvan te focussen op de precieze, moeilijke momenten waar de AI het meest leert. Hierdoor wordt het trainen van veilige AI-systemen veel sneller, goedkoper en efficiënter, zonder dat de kwaliteit daalt.

Het is alsof je stopt met het lezen van hele boeken om een woord te leren, en in plaats daarvan direct de zinnen zoekt waar dat woord het lastigst te begrijpen is.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Efficient Semi-Supervised Adversarial Training via Latent Clustering-Based Data Reduction" in het Nederlands.

Probleemstelling

Het trainen van diepe neurale netwerken (DNN's) die robuust zijn tegen adversariale aanvallen vereist doorgaans een zeer groot aantal trainingsvoorbeelden. Semi-supervised adversarial training (SSAT) is een state-of-the-art aanpak die gebruikmaakt van externe ongelabelde data of synthetisch gegenereerde data om deze sample-complexiteit te overwinnen. Echter, huidige SSAT-methoden hebben een aanzienlijke hoeveelheid extra data nodig om hoge robuustheid te bereiken. Dit leidt tot twee belangrijke inefficiënties:

1. Hoge rekenkosten en geheugengebruik: Het verwerken van enorme datasets (bijv. honderden miljoenen synthetische beelden) vereist zware hardware en langere trainingstijden.
2. Langzame convergentie: Het trainen op zo'n grote, diverse dataset zorgt voor een hogere variantie in de gradiënten, waardoor het model veel langzamer convergeert dan bij standaard adversarial training.

De kernvraag van dit onderzoek is: Is de enorme hoeveelheid extra ongelabelde data wel noodzakelijk om een hoge robuustheid te bereiken, of kunnen we de data-efficiëntie verbeteren door alleen de meest kritieke data-punten te selecteren?

Methodologie

De auteurs stellen dat niet alle data-punten even belangrijk zijn voor het verbeteren van de robuustheid. Punten die ver van de beslissingsgrens liggen, dragen minder bij dan punten die zich dicht bij de grens bevinden (waar het model onzeker is). Om dit te benutten, stellen ze twee hoofdstrategieën voor om de hoeveelheid ongelabelde data te reduceren:

1. Strategische Selectie (Strategic Selection)

In plaats van de volledige ongelabelde dataset te gebruiken, selecteren ze een kleine, kritieke subset ($A_u \subseteq S_u$) die dicht bij de beslissingsgrens ligt. Ze vergelijken drie selectiestrategieën:

• PCS (Prediction Confidence-based Selection): Een simpele methode die data-punten selecteert op basis van de laagste voorspellingszekerheid van een tussenmodel. Dit is echter computie-efficiënt maar kan onnauwkeurig zijn door de neiging van DNN's om oververzekerd te zijn.
• LCS-KM (Latent Clustering-based Selection with K-Means): Deze methode projecteert de ongelabelde data naar de latente ruimte (penultimate layer) van het model en past K-Means clustering toe. Punten die equidistant zijn van meerdere clustercentroïden (d.w.z. in de grensgebieden tussen clusters) worden geselecteerd. Dit benut de geometrische structuur van de data beter.
• LCS-GMM (Latent Clustering-based Selection with Gaussian Mixture Models): Vergelijkbaar met LCS-KM, maar gebruikt GMM's om de waarschijnlijkheid van een punt om bij een bepaalde cluster te horen te berekenen. Punten met een hoge waarschijnlijkheid voor meerdere clusters (dicht bij de grens) worden geselecteerd.

Belangrijk: Om overfitting te voorkomen, wordt een balansparameter ($\beta$) gebruikt om een mix te behouden van grenspunten en niet-grenspunten.

2. Geleide Diffusie (Guided Diffusion)

Een nadeel van de selectiemethoden is dat ze eerst een grote synthetische dataset moeten genereren (bijv. met DDPM) voordat ze kunnen selecteren, wat zelf al veel rekentijd kost. De auteurs stellen daarom een geleide fine-tuning van een Denoising Diffusion Probabilistic Model (DDPM) voor.

• Ze fine-tunen een vooraf getrainde DDPM met een nieuwe guidance loss die is afgeleid van de bovenstaande selectieprincipes (PCG, LCG-KM, LCG-GMM).
• Deze loss fungeert als regularisatie die het generatieve model dwingt om direct een kleine subset van "grens-adjacent" data te genereren, zonder eerst een enorme dataset te hoeven maken.

Belangrijkste Bijdragen

1. Formulering van het optimalisatieprobleem: Het formaliseren van de taak om de grootte van ongelabelde data te minimaliseren terwijl de robuustheid behouden blijft, zowel via selectie als via gerichte generatie.
2. Nieuwe Latent Clustering-methoden: De introductie van LCS-KM en LCS-GMM, die gebruikmaken van de latente ruimtestructuur om kritieke grenspunten nauwkeuriger te identificeren dan puur op vertrouwen gebaseerde methoden.
3. Geleide DDPM Fine-tuning: Een innovatieve pipeline om synthetische data direct te genereren die nuttig is voor SSAT, waardoor de overhead van het genereren van miljoenen onnodige beelden wordt vermeden.
4. Balans tussen grens en niet-grens data: Het inbouwen van een mechanisme om overfitting op de grens te voorkomen door een gecontroleerde verhouding van data-punten te behouden.

Resultaten

De methoden zijn getest op beeldbenchmarks (CIFAR-10, SVHN) en een medisch dataset (COVID-19 röntgenfoto's).

• Data-efficiëntie: De voorgestelde methoden (vooral LCS-KM) bereiken bijna dezelfde robuuste nauwkeurigheid als het trainen op de volledige dataset, maar met 5x tot 10x minder ongelabelde data. Bijvoorbeeld, op CIFAR-10 behaalt LCS-KM met 20% van de data een PGD-robustheid van 60,7%, vergeleken met 62,5% met 100% van de data.
• Rekentijd: Door het gebruik van kleinere, strategisch geselecteerde datasets convergeert het model veel sneller. De totale trainingstijd wordt met ongeveer 3x tot 4x verkort.
  • Bij volledige SSAT is vaak 200-400 epochs nodig voor piekprestaties.
  • Met de gereduceerde datasets wordt de piek al rond 75-100 epochs bereikt.
• Geleide Generatie: De LCG-KM methode (geleide diffusie) reduceert de totale runtime verder, van 19,1 uur (bij selectie uit een grote gegenereerde set) naar 15,7 uur, omdat het geen grote dataset hoeft te genereren en te selecteren.
• Generalisatie: De resultaten zijn consistent over verschillende datasets, modelarchitecturen (WideResNet, ResNet-18) en perturbatie-types ($\ell_\infty$, $\ell_2$). Ook op het medische COVID-dataset werd een snellere convergentie en betere robuustheid waargenomen.

Betekenis en Conclusie

Dit werk toont aan dat de "grote data" aanname voor SSAT niet absoluut noodzakelijk is. Door te focussen op grens-adjacent data-punten in de latente ruimte, kunnen modellen even robuust worden getraind met een fractie van de data en rekentijd.

De belangrijkste inzichten zijn:

• K-Means clustering in de latente ruimte is superieur aan puur vertrouwen-gebaseerde selectie omdat het de onderliggende geometrie van de data beter vastlegt.
• Geleide generatie is een krachtige techniek om de computatiekosten van het genereren van synthetische data voor SSAT drastisch te verlagen.
• De methode biedt een praktische oplossing voor scenario's met beperkte hardware of energiebudgetten, terwijl de veiligheid van het model (robuustheid) behouden blijft.

De auteurs concluderen dat hun aanpak een belangrijke stap is naar meer schaalbare en efficiënte robuuste leeralgoritmen voor real-world toepassingen.