Skip to main content
QUICK REVIEW

[論文レビュー] DetectX -- Adversarial Input Detection using Current Signatures in Memristive XBar Arrays

Abhishek Moitra, Priyadarshini Panda|arXiv (Cornell University)|Jun 22, 2021
Advanced Memory and Neural Computing参考文献 54被引用数 8
ひとこと要約

DetectX は、メモリスティブクロスバーアレイにおけるコラム電流の和(SoI)シグネチャを用いて、ハードウェア効率の良い敵対的入力検出手法を提案する。クリーン入力と敵対的入力の間のSoI分離を向上させる二段階訓練戦略を採用することで、DetectX は強力なホワイトボックスおよびブラックボックス攻撃に対し、10倍~25倍の低消費電力と、AUC >0.95 の性能を達成し、耐性と効率性においてニューラルネットワークベースの検出器を上回る。

ABSTRACT

Adversarial input detection has emerged as a prominent technique to harden Deep Neural Networks(DNNs) against adversarial attacks. Most prior works use neural network-based detectors or complex statistical analysis for adversarial detection. These approaches are computationally intensive and vulnerable to adversarial attacks. To this end, we propose DetectX - a hardware friendly adversarial detection mechanism using hardware signatures like Sum of column Currents (SoI) in memristive crossbars (XBar). We show that adversarial inputs have higher SoI compared to clean inputs. However, the difference is too small for reliable adversarial detection. Hence, we propose a dual-phase training methodology: Phase1 training is geared towards increasing the separation between clean and adversarial SoIs; Phase2 training improves the overall robustness against different strengths of adversarial attacks. For hardware-based adversarial detection, we implement the DetectX module using 32nm CMOS circuits and integrate it with a Neurosim-like analog crossbar architecture. We perform hardware evaluation of the Neurosim+DetectX system on the Neurosim platform using datasets-CIFAR10(VGG8), CIFAR100(VGG16) and TinyImagenet(ResNet18). Our experiments show that DetectX is 10x-25x more energy efficient and immune to dynamic adversarial attacks compared to previous state-of-the-art works. Moreover, we achieve high detection performance (ROC-AUC > 0.95) for strong white-box and black-box attacks. The code has been released at https://github.com/Intelligent-Computing-Lab-Yale/DetectX

研究の動機と目的

  • ニューラルネットワークベースの敵対的検出器が動的攻撃に対して脆弱で、高い計算オーバーヘッドを伴うという問題に対処すること。
  • アナログクロスバーDNNアクセラレータと互換性を持つ、ハードウェアフレンドリーでエネルギー効率の高い検出メカニズムを開発すること。
  • 具体的には、コラム電流の和(SoI)を含む、内在的なハードウェアシグネチャを活用して、敵対的入力とクリーン入力を信頼性高く区別すること。
  • ホワイトボックスおよびブラックボックス攻撃を含む、多様な敵対的攻撃タイプに対して耐性を確保すること。
  • 非ニューラルでシグネチャベースの検出が、従来のディープラーニングベースの検出アプローチよりも、より耐性があり、効率的であることを示すこと。

提案手法

  • DetectX は、アナログクロスバーアレイにおけるコラム電流の和(SoI)をハードウェアシグネチャとして監視し、クリーン入力と敵対的入力を区別する。
  • 二段階訓練戦略を採用する:第1段階では、クリーン入力と敵対的入力のSoI分離を最大化する。第2段階では、攻撃強度の変動に耐える耐性を強化する。
  • DetectX モジュールは32nm CMOSプロセスで実装され、SoI計算ユニットとシンプルなルックアップテーブル(LUT)ベースの検出器を備え、低面積・低消費電力動作を実現する。
  • システムはNeurosimプラットフォームと統合されており、コラム電流がマルチプレクサによって集約され、ADCを介してデジタル化された後、DetectXモジュールで処理される。
  • 検出処理はネットワークの最初のレイヤーでのみ適用され、より深いレイヤーでの性能オーバーヘッドを回避する。
  • 本手法はデバイスに依存せず、RRAM や FeFET などの異なるメモリスティブ技術に容易に統合可能である。

実験結果

リサーチクエスチョン

  • RQ1アナログクロスバーにおけるコラム電流の和(SoI)といったハードウェアシグネチャが、クリーン入力と敵対的入力を信頼性高く区別できるか?
  • RQ2二段階訓練戦略が、クリーン入力と敵対的入力のSoI分布間の分離を効果的に高められるか?
  • RQ3非ニューラルでハードウェアシグネチャベースの検出器は、ニューラルネットワークベースの検出器と比較して、エネルギー効率がどの程度優れているか?
  • RQ4本手法の検出メカニズムは、ニューラル検出器モデルを標的とする動的敵対的攻撃に対して耐性を示せるか?
  • RQ5強力なホワイトボックスおよびブラックボックス攻撃下でも、高い検出性能(例:AUC >0.95)を維持できるか?

主な発見

  • DetectX は、強力なホワイトボックス攻撃(PGD、ϵ=8/255、α=0.5/255、n=40 および n=200)に対し、AUCスコアが0.95以上を達成し、先行研究を上回る性能を示した。
  • ブラックボックス攻撃において、DetectX はAUC 0.99を達成し、Sterneck ら[12]が報告した0.37と比べて顕著に優れており、信頼性の高い検出が可能であることを示した。
  • CIFAR10、CIFAR100、Tiny-ImageNetベンチマークで検証された結果、DetectX モジュールは、最先端のニューラルネットワークベースの検出器と比較して、10倍~25倍の低消費電力であることが確認された。
  • ニューラル検出器とは異なり、非ニューラルでハードウェアシグネチャベースの設計であるため、動的敵対的攻撃に対して免疫を示した。
  • 第2段階の訓練により、強力な敵対的攻撃下でも低誤差率を維持でき、一貫した検出性能を確保した。
  • 本手法はデバイスに依存せず、基盤となるNVM技術にかかわらず、任意のメモリスティブクロスバーアーキテクチャに統合可能である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。