Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Evaluating the Robustness of Neural Networks: An Extreme Value Theory Approach

Tsui-Wei Weng, Huan Zhang|arXiv (Cornell University)|2018. 01. 31.
Adversarial Robustness in Machine Learning인용 수 185
한 줄 요약

논문은 Extreme Value Theory로 추정된 로컬 리프시츠 상수에 기반한 신경망용 공격 독립적 강건성 지표 CLEVER를 도입하고, ResNet, Inception-v3, MobileNet 같은 대형 모델에서 이를 검증합니다.

ABSTRACT

The robustness of neural networks to adversarial examples has received great attention due to security implications. Despite various attack approaches to crafting visually imperceptible adversarial examples, little has been developed towards a comprehensive measure of robustness. In this paper, we provide a theoretical justification for converting robustness analysis into a local Lipschitz constant estimation problem, and propose to use the Extreme Value Theory for efficient evaluation. Our analysis yields a novel robustness metric called CLEVER, which is short for Cross Lipschitz Extreme Value for nEtwork Robustness. The proposed CLEVER score is attack-agnostic and computationally feasible for large neural networks. Experimental results on various networks, including ResNet, Inception-v3 and MobileNet, show that (i) CLEVER is aligned with the robustness indication measured by the $\\ell_2$ and $\\ell_\\infty$ norms of adversarial examples from powerful attacks, and (ii) defended networks using defensive distillation or bounded ReLU indeed achieve better CLEVER scores. To the best of our knowledge, CLEVER is the first attack-independent robustness metric that can be applied to any neural network classifier.

연구 동기 및 목표

  • 공격 방법에 독립적인 포괄적 강건성 지표를 제시할 동기를 제시합니다.
  • 강건성을 분류기의 출력 차이의 로컬 리프시츠 상한과 관련지습니다.
  • Cross Lipschitz 상수를 추정하기 위한 Extreme Value Theory를 이용한 확장 가능한 추정 방법을 제안합니다.
  • 대형 구조 및 방어 네트워크에서 CLEVER를 시연하여 공격 기반 왜곡과의 일치를 보임합니다.

제안 방법

  • 분류기 출력의 리프시츠 연속성으로 최소 적대적 왜곡에 대한 형식적 하한을 도출합니다.
  • f_c(x) - f_j(x)에 대한 cross Lipschitz 상수 L_q^j를 정의하고, β_L = min_{j≠c} (f_c(x0) - f_j(x0)) / L_q^j 를 강건성의 하한으로 설정합니다.
  • 扰근 반경 안에서 그래디언트를 샘플링하고 그 최대치를 역 Weibull 극값 분포로 모델링하여 로컬 cross Lipschitz 상수를 추정합니다.
  • 배치 단위 최대값에 대한 최대우도 추정치를 사용하여 a_W를 로컬 Lipschitz 한계의 추정치로 얻습니다.
  • CLEVER 점수는 CLEVER = g(x0) / a_W(목표형) 또는 목표들 간의 최솟값(비목표형)으로 정의되며, 섭동 반경 R로 제한됩니다.
  • KS 테스트에서 그래디언트-노름 샘플이 높은 p-value의 역 Weibull 분포에 잘 맞는다는 것을 경험적으로 검증합니다.
  • ResNet-50, Inception-v3, MobileNet과 함께 ImageNet, CIFAR-10, MNIST에서 방어 방법(방어적 증류, 경계 ReLU 등)과 함께 CLEVER를 평가합니다.

실험 결과

연구 질문

  • RQ1신경망에 대해 대규모 모델까지 확장 가능하고 임의의 아키텍처에 적용되는 공격-독립적 강건성 지표를 정의할 수 있는가?
  • RQ2제안된 CLEVER 점수가 강한 공격자에 의한 왜곡과 서로 다른 노름 및 네트워크 유형에 대해 일치하는가?
  • RQ3극값 이론이 고차원 신경망에서 로컬 Lipschitz 상수의 신뢰할 수 있고 효율적인 추정치를 제공하는가?
  • RQ4방어된 네트워크는 CLEVER 점수가 개선되어 공격하에 강건성이 향상된 것과 일치하는가?
  • RQ5CLEVER는 표준 데이터셋과 아키텍처에서 공격 기반 강건성 지표와 어떻게 비교되는가?

주요 결과

  • CLEVER는 공격 독립적이며 대형 신경망 분류기에 적용 가능하다.
  • CLEVER 점수는 공격 샘플의 L2 및 Linf 왜곡이 주는 강건성 신호와 일치한다.
  • 방어적 증류, 경계 ReLU 같은 방어 네트워크는 방어되지 않은 대비보다 더 나은 CLEVER 점수를 얻는다.
  • 샘플링된 영역의 그래디언트-노름 샘플이 역 Weibull 분포를 잘 맞추며(KS p-value가 높음), EVT 기반 추정 접근을 지지한다.
  • CLEVER는 ImageNet 모델(ResNet-50, Inception-v3, MobileNet)로의 확장성을 보이고, 다양한 노름에서의 실용적 강건성과 상호 연관된다.
  • CLEVER는 비미분 가능 네트워크(ReLU 기반 등)에도 cross Lipschitz 상수를 통해 형식적 강건성 보장 프레임워크를 제공한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.