Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Securing Deep Spiking Neural Networks against Adversarial Attacks through Inherent Structural Parameters

Rida El-Allami, Alberto Marchisio|arXiv (Cornell University)|Dec 9, 2020
Advanced Memory and Neural Computing参考文献 45被引用数 33
ひとこと要約

本論文はスパイキングニューラルネットワーク(SNN)の頑健性が敵対的攻撃に対して内部構造パラメータ(閾値電圧 V_th および時間窓 T)に依存することを検証し、強力なホワイトボックス攻撃下で従来のCNNより顕著な頑健性の向上を示し、再現性のある研究のためのオープンソースツールを提供している。

ABSTRACT

Deep Learning (DL) algorithms have gained popularity owing to their practical problem-solving capacity. However, they suffer from a serious integrity threat, i.e., their vulnerability to adversarial attacks. In the quest for DL trustworthiness, recent works claimed the inherent robustness of Spiking Neural Networks (SNNs) to these attacks, without considering the variability in their structural spiking parameters. This paper explores the security enhancement of SNNs through internal structural parameters. Specifically, we investigate the SNNs robustness to adversarial attacks with different values of the neuron's firing voltage thresholds and time window boundaries. We thoroughly study SNNs security under different adversarial attacks in the strong white-box setting, with different noise budgets and under variable spiking parameters. Our results show a significant impact of the structural parameters on the SNNs' security, and promising sweet spots can be reached to design trustworthy SNNs with 85% higher robustness than a traditional non-spiking DL system. To the best of our knowledge, this is the first work that investigates the impact of structural parameters on SNNs robustness to adversarial attacks. The proposed contributions and the experimental framework is available online to the community for reproducible research.

研究の動機と目的

  • スパイキングニューラルネットワークの敵対的攻撃に対する頑健性が、内部構造パラメータ(閾値電圧 V_th および時間窓 T)によってどのように影響を受けるかを評価する。
  • SNNに固有の頑健性が存在するかを判断し、この頑健性が選択された V_th および T の値にどう依存するかを検討する。
  • 学習可能性や精度を犠牲にすることなく頑健性を高めるパラメータ領域を特定する。

提案手法

  • 複数の V_th および T の組み合わせをテストする体系的な頑健性探索フレームワークを開発する。
  • Norse フレームワークを用いて MNIST 上で SNNs(スパイク化された Lenet-5)を学習させ、強力なホワイトボックスの PGD 攻撃に対する頑健性を評価する。
  • 頑健性評価の前提として、基礎精度が閾値(A_th = 70%)を超えることを要求する学習可能性フィルターを適用する。
  • 異なるノイズ予算 ε の下でPGDを用いて敵対的例を生成し、頑健性を 1 - (成功した攻撃数 / 合計サンプル数)として測定する。
  • 同じデータで訓練したCNNのベースラインと、パラメータ設定ごとのSNN頑健性を比較する。

実験結果

リサーチクエスチョン

  • RQ1(Q1) スパイキング構造パラメータ(V_th と T)は敵対的攻撃下でSNNの挙動にどのような影響を与えるか?
  • RQ2(Q2) SNNは敵対的攻撃に固有の頑健性を持つのか、そしてそれは V_th と T によってどう変わるのか?
  • RQ3(Q3) 高い基礎精度が高い頑健性を意味するのか、それとも特定のパラメータ選択が学習可能性とセキュリティを両立させるのか?

主な発見

  • 構造パラメータ(V_th、T)は敵対的攻撃に対するSNNの頑健性に大きく影響する。
  • SNNは固有の頑健性を示すが、それは選択された V_th および T の値に強く依存する。
  • 高い基礎学習可能性は攻撃下での頑健性を保証しない。
  • いくつかのパラメータの組み合わせはCNNよりはるかに高い頑健性を生む;例として、(V_th, T) = (1, 48) は強力な攻撃下でCNNより最大で85%高い頑健性を達成する。
  • MNIST上の5層SNNは、ε = 1.5のPGD攻撃を受けた場合、CNNに対して最大で84%の精度向上を達成する。
  • 本研究は再現可能な研究のためのオープンソースコードをプロジェクトリポジトリに提供している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。