PGDとは
PGD(Projected Gradient Descent)とは、Madryらが2018年に提案した敵対的サンプル生成の反復的手法です。FGSMを複数ステップに拡張し、各ステップで摂動を更新した後にノルム球内に射影することで、より強力な敵対的サンプルを生成します。現在のロバスト性評価における標準的な攻撃手法となっています。
PGDの仕組み
PGDは、ランダムな初期摂動からスタートし、FGSMと同様の勾配ステップを複数回繰り返します。各ステップ後に、摂動がε球内に収まるよう射影(クリッピング)を行います。この反復プロセスにより、制約内で損失を最大化する摂動を探索し、FGSMよりも高い攻撃成功率を達成します。
PGDとFGSMの違い
FGSMが1ステップで摂動を決定するのに対し、PGDは複数ステップの反復最適化を行います。PGDはより強力な攻撃ですが、反復回数に比例して計算コストが増加します。一般に、PGDに対して堅牢なモデルはFGSMにも堅牢であるとされ、PGDは「最も強力な一次攻撃」と見なされています。
敵対的訓練への応用
PGDは敵対的訓練において中心的な役割を果たしています。Madryらの研究では、PGDで生成した敵対的サンプルを訓練データに含めることで、認証可能な堅牢性に近い防御を実現できることが示されました。PGDベースの敵対的訓練は、現在でもモデルの堅牢性向上における最も信頼性の高い手法の一つとされています。