Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Exact Certification of Data-Poisoning Attacks Using Mixed-Integer Programming

Philip Sosnin, Jodie Knapp|arXiv (Cornell University)|Feb 18, 2026
Adversarial Robustness in Machine Learning被引用数 0
ひとこと要約

本論文は、訓練データ汚染に対するロバスト性を検証する健全で完全な検証フレームワークを提案する。訓練–攻撃–評価の全過程を単一のMIQCPとして定式化し、固定された訓練パイプラインに対する証明可能な最適な汚染攻撃と正確なロバスト性保証を導出する。

ABSTRACT

This work introduces a verification framework that provides both sound and complete guarantees for data poisoning attacks during neural network training. We formulate adversarial data manipulation, model training, and test-time evaluation in a single mixed-integer quadratic programming (MIQCP) problem. Finding the global optimum of the proposed formulation provably yields worst-case poisoning attacks, while simultaneously bounding the effectiveness of all possible attacks on the given training pipeline. Our framework encodes both the gradient-based training dynamics and model evaluation at test time, enabling the first exact certification of training-time robustness. Experimental evaluation on small models confirms that our approach delivers a complete characterization of robustness against data poisoning.

研究の動機と目的

  • 訓練時のデータ汚染攻撃に対する formally 検証の必要性を動機づける。
  • 正確な認証をもたらす共同の訓練–攻撃–評価の定式化を提案する。
  • データ摂動、訓練ダイナミクス、テスト時評価を組み込んだMIQCPベースのフレームワークを開発する。
  • 小規模モデルでの正確な認証を示し、スケーラビリティを改善する戦略を提供する。

提案手法

  • データ摂動、訓練ダイナミクス、テスト時評価を単一のMIQCPとして定式化する。
  • 有界・任意のデータ汚染脅威モデルをバイナリおよび連続変数でエンコードする。
  • ReLU活性化をBig-M制約付き双線形不等式とヒンジ損失でMIPフレンドリーな形に表現する。
  • 前向き・後向き伝播、パラメータ更新、テスト時予測をMIQCP内にエンコードする。
  • MIQCPを最適解まで解くことで、最悪ケースの汚染攻撃と正確なロバスト性証明を同時に得る。
Figure 1: Comparison of formulation tightness and optimization progress for the Iris dataset under an unbounded attack model ( $n=8$ ). Left: Tightness of the test-data Big-M constants, defined as $|U^{(i,\mathrm{test})}-L^{(i,\mathrm{test})}|$ . Right: Objective value (dashed) and dual bound (dotte
Figure 1: Comparison of formulation tightness and optimization progress for the Iris dataset under an unbounded attack model ( $n=8$ ). Left: Tightness of the test-data Big-M constants, defined as $|U^{(i,\mathrm{test})}-L^{(i,\mathrm{test})}|$ . Right: Objective value (dashed) and dual bound (dotte

実験結果

リサーチクエスチョン

  • RQ1定義された脅威モデルの下で、特定の訓練手順に対して訓練時のデータ汚染に対するロバスト性を正確に認証できるか。
  • RQ2緩和や過大評価を避けるために、訓練パイプライン全体を単一のMIQCPとしてどのようにエンコードできるか。
  • RQ3小さなモデルでの正確なMIQCPベースの認証の実用的な性能を向上させるための戦略は何か。
  • RQ4有界および任意の代替脅威モデルの下で、最適な汚染戦略の経験的特徴は何か。

主な発見

  • MIQCP定式化は、固定初期値とデータ順序の下でデータ汚染ロバスト性の健全かつ完全な証明を提供する。
  • このアプローチは、指定された脅威モデルに対して、証明可能に最適な汚染攻撃と正確なロバスト性保証を計算できる。
  • 小規模モデルにおける経験的結果は、正確な認証が達成可能であり、最適汚染戦略の構造を明らかにすることを示す。
  • 提案された改善(ヒューリスティクス、境界の絞り込み、付随変数の定式化)は、計算コストの管理と緩和の強化に役立つ。
Figure 2: Optimal denial of service attack on the Diabetes dataset with $n=50,\epsilon=0,\nu=0.5$ . The red squares depict the points poisoned by the adversary. The rightmost figure depicts the training loss for the poisoned (green) vs original (blue) datasets.
Figure 2: Optimal denial of service attack on the Diabetes dataset with $n=50,\epsilon=0,\nu=0.5$ . The red squares depict the points poisoned by the adversary. The rightmost figure depicts the training loss for the poisoned (green) vs original (blue) datasets.

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。