QUICK REVIEW

[논문 리뷰] Evaluating Robustness of Neural Networks with Mixed Integer Programming

Vincent Tjeng, Kai Xiao|arXiv (Cornell University)|2017. 11. 20.

Adversarial Robustness in Machine Learning인용 수 337

한 줄 요약

논문은 조각-선형 신경망의 견고한 검증을 MILP로 공식화하여 대규모 속도 향상과 100k개 이상의 ReLUs를 가진 네트워크 및 epsilon=0.1에서 MNIST의 정확한 적대적 정확도까지 검증 가능하게 한다.

ABSTRACT

Neural networks have demonstrated considerable success on a wide variety of real-world problems. However, networks trained only to optimize for training accuracy can often be fooled by adversarial examples - slightly perturbed inputs that are misclassified with high confidence. Verification of networks enables us to gauge their vulnerability to such adversarial examples. We formulate verification of piecewise-linear neural networks as a mixed integer program. On a representative task of finding minimum adversarial distortions, our verifier is two to three orders of magnitude quicker than the state-of-the-art. We achieve this computational speedup via tight formulations for non-linearities, as well as a novel presolve algorithm that makes full use of all information available. The computational speedup allows us to verify properties on convolutional networks with an order of magnitude more ReLUs than networks previously verified by any complete verifier. In particular, we determine for the first time the exact adversarial accuracy of an MNIST classifier to perturbations with bounded $l_\infty$ norm $ε=0.1$: for this classifier, we find an adversarial example for 4.38% of samples, and a certificate of robustness (to perturbations with bounded norm) for the remainder. Across all robust training procedures and network architectures considered, we are able to certify more samples than the state-of-the-art and find more adversarial examples than a strong first-order attack.

연구 동기 및 목표

원칙적인 Robustness 평가를 휴리스틱 공격을 넘어 동기 부여합니다.
조각-선형 네트워크에 대한 완전한 MILP 문제로 신경망 강건성 검증을 공식화합니다.
촘촘한 ReLU 및 최대 함수 형식화와 큰 네트워크로 확장하는 점진적 한계 긴축 프리솔브를 개발합니다.
MNIST와 CIFAR-10 전반에서 강건성 인증과 적대적 예를 발견하는 능력을 시연합니다.
강건 검증 연구를 촉진하기 위한 MIPVerify 오픈 소스 도구를 제공합니다.

제안 방법

입력 도메인 내 적대적 다면체(adversarial polytope)에서의 적합성 문제로 강건성을 모델링합니다.
조각-선형 구성요소(ReLU, max, 선형 계층)를 엄밀한 MILP 제약으로 표현합니다.
문제 풀기 전에 변수 경계를 좁히는 진행적 경계 긴축(ia와 lp)을 도입합니다.
제한된 입력 도메인 G(x)와 비대칭 경계를 활용해 비선형성을 줄입니다.
SMT 기반 검증기(Reluplex) 및 다른 검증기와의 비교에서 상당한 속도 향상을 보입니다.
https://github.com/vtjeng/MIPVerify.jl에서 코드를 제공합니다.

실험 결과

연구 질문

RQ1경계된 섭 perturbations 하에서 ConvNet 및 ResNet를 포함한 큰 조각-선형 네트워크의 완전 MILP 검증기가 효율적으로 강건성을 인증할 수 있는가?
RQ2MILP 검증기와 SMT 기반 및 불완전한 검증기 간의 속도와 강건성 인증의 엄밀도 차이는 무엇인가?
RQ3epsilon이 0.1일 때 l_infinity 페르트루브션에서 MNIST에 대해 달성 가능한 정확한 적대적 정확도는 무엇이며 PGD와 같은 공격과 비교하면 어떻게 되는가?
RQ4강건한 학습 방법과 네트워크 아키텍처가 인증 가능성 및 강건성 인증서에 어떤 영향을 미치는가?
RQ5MNIST와 CIFAR-10 전반에서 인증 시간과 스케일에 영향을 주는 요인은 무엇인가?

주요 결과

데이터셋	네트워크	ε	테스트 에러	적대적 에러에 대한 인증된 하한	적대적 에러에 대한 인증된 상한	간극 없음?	평균 시간 / s (샘플당)
MNIST	LP d - cnn b	0.1	1.19%	2.62%	2.73%	4.45% [1]	46.33
MNIST	LP d - cnn a	0.1	1.89%	4.11%	4.38%	4.38%	3.52
MNIST	Adv- cnn a	0.1	0.96%	4.10%	4.21%	—	135.74
MNIST	Adv- mlp b	0.1	4.02%	9.03%	9.74%	15.41%	3.69
MNIST	SDP d - mlp a	0.1	4.18%	11.51%	14.36%	34.77%	312.43
MNIST	LP d - cnn a	0.2	4.23%	9.54%	10.68%	17.50%	7.32
MNIST	LP d - cnn b	0.3	11.16%	19.70%	24.12%	41.98%	98.79
MNIST	LP d - cnn a	0.3	11.40%	22.70%	25.79%	35.03%	5.13
MNIST	LP d - cnn a	0.4	26.13%	39.22%	48.98%	62.49%	5.07
CIFAR-10	LP d - cnn a	2/255	39.14%	48.23%	49.84%	53.59% [1]	22.41
CIFAR-10	LP d - res	8/255	72.93%	76.52%	77.29%	78.52% [1]	15.23

MILP 검증기가 Reluplex에 비해 최소 적대적 왜곡 작업에서 두세 차수 빠르다.
100,000개가 넘는 ReLUs를 포함하는 네트워크(컨볼루션 및 잔차 계층 포함)를 검증할 수 있다.
MNIST에서 epsilon=0.1일 때 정확한 적대적 정확도를 얻는다: 샘플의 4.38%에 대해 적대적 예가 생성되고 나머지에 대해 강건성 인증을 보유한다.
MNIST와 CIFAR-10 전반에서 이전 최첨단 방법보다 더 많은 샘플을 인증하고 더 많은 적대적 예를 발견한다.
이 접근법은 이전 방법보다 더 타이트한 하한/상한의 적대적 오차를 제공하고 더 큰 아키텍처로 확장 가능하다(e.g., LP_d_res with 107,496 units).
저자들은 재현 및 확장을 위한 오픈 소스 도구(MIPVerify.jl)를 제공합니다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.