はじめに

PeerNets: Exploiting Peer Wisdom Against Adversarial Attacksを読んだのでメモ．adversarial attackに強いモデルをgraph convolutionを利用して作ったというもの．

Peer Regularization

データの空間構造を利用した新しいDNNを提案するというもの．それにより摂動（adversarial attack）の影響を減らすことができるというのが主張．

内容としてはpeersと呼ばれる $N$ 個の画像の特徴マップ $\mathbf{X}^1,\dots,\mathbf{X}^N\in\mathbb{R}^{n\times d}$ を利用した演算を導入する（ $n$ はピクセルの数で， $d$ がピクセルの持つ特徴量の次元数）．処理としては入力のあるピクセルに対して全peer画像の $d$ 次元特徴マップの全ピクセルから $K$ 近傍を探し，ピクセルの持つ値をその近傍との重み付き平均で置き換えてしまおうというもの．peer画像にはadversarialな画像がないため摂動の影響を減らすことができるというのが主張．

$K$ 近傍との重み付き平均はgraph attention network (GAT)を使って計算する．GATは次の計算によってエッジの重みを推定するもの．

$\displaystyle \alpha_{ij_kpq_k}=\frac{\mathrm{LeakyReLU}(\exp(a(\mathbf{x}_p^i,\mathbf{x}_{p_k}^{j_k})))}{\sum_{k'=1}^K\mathrm{LeakyReLU}(\exp(a(\mathbf{x}_p^i,\mathbf{x}_{p_k'}^{j_k'})))}$

各添字は $i$ が入力の画像で， $j_k\in\{1,\dots,N\}$ が参照しているpeer画像， $p,p_k,q_k$ は画像のピクセルを表す（peer画像の画素を示す記号が $p_k$ になっているがおそらく $q_k$ の間違い）．また， $a(\cdot)$ はニューラルネットによる変換を表す．この重みを使って次のように平均をとることで注目画素の値を変更する．