Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Exact Certification of Data-Poisoning Attacks Using Mixed-Integer Programming

Philip Sosnin, Jodie Knapp|arXiv (Cornell University)|2026. 02. 18.
Adversarial Robustness in Machine Learning인용 수 0
한 줄 요약

논문은 신경망 학습 중 데이터 포이즈닝에 대한 강건성을 인증하는 sound하고 완전한 검증 프레임워크를 제시하며, 전체 학습-공격-평가 과정을 단일 MIQCP로 형상화하여 증명 가능한 최적의 포이징 공격과 고정된 학습 파이프라인에 대한 정확한 강건성 보장을 제공한다.

ABSTRACT

This work introduces a verification framework that provides both sound and complete guarantees for data poisoning attacks during neural network training. We formulate adversarial data manipulation, model training, and test-time evaluation in a single mixed-integer quadratic programming (MIQCP) problem. Finding the global optimum of the proposed formulation provably yields worst-case poisoning attacks, while simultaneously bounding the effectiveness of all possible attacks on the given training pipeline. Our framework encodes both the gradient-based training dynamics and model evaluation at test time, enabling the first exact certification of training-time robustness. Experimental evaluation on small models confirms that our approach delivers a complete characterization of robustness against data poisoning.

연구 동기 및 목표

  • 학습 시 데이터 포이즈닝 공격에 대한 형식적 검증의 필요성을 동기화한다.
  • 정확한 인증을 얻는 공동 학습–공격–평가 형식을 제안한다.
  • 데이터 섭 perturbations, 학습 동역학, 테스트 시 평가를 인코드하는 MIQCP 기반 프레임워크를 개발한다.
  • 작은 모델에서의 정확한 인증과 확장성을 개선하기 위한 전략을 제공한다.

제안 방법

  • 데이터 포튼 perturbations, 학습 동역학, 테스트 시 평가를 단일 MIQCP로 형상화한다.
  • 바운드된 및 임의의 데이터 포이즈닝 위협 모델을 이진 및 연속 변수로 인코딩한다.
  • ReLU 활성화를 큰-M 제약 이중선형 부등식과 힌지 손실을 MIP 친화적으로 표현한다.
  • 순방향 및 역방향 패스, 매개변수 업데이트, 테스트 시 예측을 MIQCP 내에서 인코딩한다.
  • MIQCP를 최적 해로 풀이하여 최악의 포이징 공격과 정확한 강건성 인증을 얻는다.
Figure 1: Comparison of formulation tightness and optimization progress for the Iris dataset under an unbounded attack model ( $n=8$ ). Left: Tightness of the test-data Big-M constants, defined as $|U^{(i,\mathrm{test})}-L^{(i,\mathrm{test})}|$ . Right: Objective value (dashed) and dual bound (dotte
Figure 1: Comparison of formulation tightness and optimization progress for the Iris dataset under an unbounded attack model ( $n=8$ ). Left: Tightness of the test-data Big-M constants, defined as $|U^{(i,\mathrm{test})}-L^{(i,\mathrm{test})}|$ . Right: Objective value (dashed) and dual bound (dotte

실험 결과

연구 질문

  • RQ1주어진 학습 절차에서 정의된 위협 모델하에 학습 시 강건성이 정확히 인증될 수 있는가?
  • RQ2Relaxation 및 과대추정 없이 전체 학습 파이프라인을 단일 MIQCP로 인코딩할 수 있는가?
  • RQ3작은 모델에서 정확한 MIQCP 기반 인증의 실용적 성능을 Improvement하는 전략은 무엇인가?
  • RQ4제한된 및 임의 대체 위협 모델에서 최적 포이징 전략의 실험적 특징은 무엇인가?

주요 결과

  • MIQCP 형식은 고정된 초기화 및 데이터 순서에서 데이터 포이즈닝 강건성에 대해 sound하고 complete한 인증을 제공한다.
  • 주어진 위협 모델에 대해 증명 가능한 최적의 포이징 공격과 정확한 강건성 보장을 계산할 수 있다.
  • 작은 모델에 대한 실험적 결과는 정확한 인증이 가능함을 보여주며 최적 포이징 전략의 구조를 드러낸다.
  • 제시된 개선책(휴리스틱, 경계 강화, 보조 변수 형식화)은 계산 비용 관리와 Relaxation을 더욱 촉진한다.
Figure 2: Optimal denial of service attack on the Diabetes dataset with $n=50,\epsilon=0,\nu=0.5$ . The red squares depict the points poisoned by the adversary. The rightmost figure depicts the training loss for the poisoned (green) vs original (blue) datasets.
Figure 2: Optimal denial of service attack on the Diabetes dataset with $n=50,\epsilon=0,\nu=0.5$ . The red squares depict the points poisoned by the adversary. The rightmost figure depicts the training loss for the poisoned (green) vs original (blue) datasets.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.