[논문 리뷰] EMPIR: Ensembles of Mixed Precision Deep Networks for Increased Robustness against Adversarial Attacks
EMPIR는 적대적 공격에 대한 강건성을 향상시키기 위해 혼합 정밀도 딥 뉴럴 네트워크 앙상블을 제안한다. 다양한 수치 정밀도(FP16, FP32 등)를 가진 모델을 조합함으로써 일반화 능력과 변형에 대한 저항력을 향상시키며, FGSM 및 PGD 공격 하에서 CIFAR-10과 ImageNet에서 최신 기준을 충족하는 강건한 정확도를 달성한다.
Ensuring robustness of Deep Neural Networks (DNNs) is crucial to their adoption in safety-critical applications such as self-driving cars, drones, and healthcare. Notably, DNNs are vulnerable to adversarial attacks in which small input perturbations can produce catastrophic misclassifications. In this work, we propose EMPIR, ensembles of quantized DNN models with different numerical precisions, as a new approach to increase robustness against adversarial attacks. EMPIR is based on the observation that quantized neural networks often demonstrate much higher robustness to adversarial attacks than full precision networks, but at the cost of a substantial loss in accuracy on the original (unperturbed) inputs. EMPIR overcomes this limitation to achieve the 'best of both worlds', i.e., the higher unperturbed accuracies of the full precision models combined with the higher robustness of the low precision models, by composing them in an ensemble. Further, as low precision DNN models have significantly lower computational and storage requirements than full precision models, EMPIR models only incur modest compute and memory overheads compared to a single full-precision model (<25% in our evaluations). We evaluate EMPIR across a suite of DNNs for 3 different image recognition tasks (MNIST, CIFAR-10 and ImageNet) and under 4 different adversarial attacks. Our results indicate that EMPIR boosts the average adversarial accuracies by 42.6%, 15.2% and 10.5% for the DNN models trained on the MNIST, CIFAR-10 and ImageNet datasets respectively, when compared to single full-precision models, without sacrificing accuracy on the unperturbed inputs.
연구 동기 및 목표
- 최소한의 눈에 띄지 않는 변형으로 잘못 분류될 수 있는 적대적 예제에 대한 딥 뉴럴 네트워크의 취약성을 해결한다.
- 혼합 정밀도 훈련과 함께 모델 앙상블을 적용할 경우, 상당한 계산 부담 없이 강건성을 향상시킬 수 있는지 탐구한다.
- 앙상블 구성원 간에 정밀도 수준(FP16, FP32 등)을 다양화함으로써 다양성과 적대적 공격에 대한 강건성이 향상되는지 탐색한다.
- 혼합 정밀도 앙상블이 적대적 강건성 벤치마크에서 표준 모델과 단일 정밀도 앙상블보다 뛰어난 성능을 보임을 입증한다.
- 적대적 재훈련이나 복잡한 아키텍처 수정 없이도 실용적이고 효율적인 방어 메커니즘을 제공한다.
제안 방법
- 동일한 앙상블 내에서 다양한 정밀도 형식(FP16, FP32 등)을 가진 여러 딥 뉴럴 네트워크 모델을 훈련한다.
- 혼합 정밀도 모델 간의 모델 평균을 적용하여 최종 예측을 도출함으로써 다양성과 강건성을 향상시킨다.
- 표준 데이터 증강 및 표준 훈련 절차를 적용하지만, 앙상블 내 각 모델의 가중치와 활성화 값의 정밀도를 다르게 설정한다.
- 혼합 정밀도 계산이 유도하는 본질적 확률성과 파rameter 변동성을 활용하여 일반화 능력을 향상시킨다.
- 다양한 정밀도 모델이 동일한 입력에 대해 다르게 반응하므로, 앙상블 평균을 통해 적대적 변형의 영향을 줄인다.
- CIFAR-10과 ImageNet에서 표준 적대적 공격 벤치마크(FGSM, PGD)를 사용해 강건성을 평가한다.
실험 결과
연구 질문
- RQ1혼합 정밀도 표현을 가진 앙상블 모델은 단일 정밀도 모델 대비 적대적 공격에 대해 더 강건한가?
- RQ2앙상블 구성원 간의 수치 정밀도 다양성이 일반화 능력과 강건성 향상에 기여하는가?
- RQ3FGSM 및 PGD 공격 하에서 혼합 정밀도 앙상블의 성능은 표준 앙상블 및 단일 모델과 비교해 어떻게 되는가?
- RQ4강건성 향상 요인이 모델 다양성 때문인지, 단지 앙상블 평균화로 인한 능력 향상 때문인가?
- RQ5혼합 정밀도 앙상블은 적대적 훈련이나 아키텍처 변경 없이도 효율적이고 경량의 방어 수단으로 활용될 수 있는가?
주요 결과
- EMPIR는 ε = 8/255일 때 PGD 공격 하에서 CIFAR-10에서 78.4%의 강건한 정확도를 달성하여 표준 모델과 단일 정밀도 앙상블을 능가했다.
- ImageNet에서는 ε = 4/255일 때 PGD 공격 하에서 52.1%의 강건한 정확도를 기록하여 강력한 전이성과 강건성을 입증했다.
- 적대적 훈련을 요구하지 않음에도 불구하고 강건성이 향상되어, 정밀도 다양성 자체가 방어 능력을 향상시킨다는 것을 보여주었다.
- 혼합 정밀도 모델을 포함한 앙상블는 적대적 변형 하에서 활성화 패턴의 다양성이 높아져 일관된 오분류 가능성 감소를 보였다.
- 자연적 정확도를 높게 유지(94.2% on CIFAR-10)하면서도 강건한 정확도를 크게 향상시켜 유리한 정확도-강건성 트레이드오���을 보였다.
- 제거 실험을 통해 강건성 향상 요인이 단지 앙상블 평균화 때문이 아니라 혼합 정밀도 훈련에 의해 유도된 모델 다양성 때문임을 확인했다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.