Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Fooling Neural Network Interpretations via Adversarial Model Manipulation

Juyeon Heo, Sunghwan Joo|arXiv (Cornell University)|2019. 02. 06.
Adversarial Robustness in Machine Learning참고 문헌 35인용 수 73
한 줄 요약

본 논문은 최첨단 시각화 기반 해석기들(LRP, Grad-CAM, SimpleGrad)이 사전 학습된 모델을 미세 조정하는 과정에서 정확도에 영향을 주지 않으면서도, 설명을 바꾸고 방법 간 전달을 가능하게 하는 수동적 및 능동적 조작에 의해 속일 수 있음을 보여준다.

ABSTRACT

We ask whether the neural network interpretation methods can be fooled via adversarial model manipulation, which is defined as a model fine-tuning step that aims to radically alter the explanations without hurting the accuracy of the original models, e.g., VGG19, ResNet50, and DenseNet121. By incorporating the interpretation results directly in the penalty term of the objective function for fine-tuning, we show that the state-of-the-art saliency map based interpreters, e.g., LRP, Grad-CAM, and SimpleGrad, can be easily fooled with our model manipulation. We propose two types of fooling, Passive and Active, and demonstrate such foolings generalize well to the entire validation set as well as transfer to other interpretation methods. Our results are validated by both visually showing the fooled explanations and reporting quantitative metrics that measure the deviations from the original explanations. We claim that the stability of neural network interpretation method with respect to our adversarial model manipulation is an important criterion to check for developing robust and reliable neural network interpretation method.

연구 동기 및 목표

  • 적대적 모델 조작 하에서 신경망 해석 방법의 안정성을 평가한다.
  • 표준 아키텍처(VGG19, ResNet50, DenseNet121)에서 대중적인 시각 기반 해석기가 속일 수 있음을 보여준다.
  • 수동적 및 능동적 속임 방식과 그것들의 해석 방법 간 전이 가능성을 특성화한다.
  • 대규모 데이터(ImageNet)에서 속임의 강건성을 평가하고 설명의 신뢰성에 대한 시사점을 논의한다.

제안 방법

  • 분류 손실과 해석 기반 패널티 항을 결합한 목적함수로 사전 학습된 모델을 미세 조정한다.
  • 무의미한 설명을 생성하도록 수동적 속임(Location, Top-k, Center-mass)을 정의한다.
  • 전용 속임 데이터셋을 사용하여 두 개의 대상 클래스 간에 설명을 교환하는 능동적 속임을 정의한다.
  • 세 가지 해석기(LRP-Composite, Grad-CAM, SimpleGrad)를 사용하여 설명용 히트맵을 생성한다.
  • 이미지넷에서 보류된 검증 데이터를 사용하고, 속임 유형별로 사전 정의된 임계치를 이용하여 Fooling Success Rate(FSR)을 평가한다.
  • AOPC 및 적대적 학습 실험을 통해 강건성을 평가한다.

실험 결과

연구 질문

  • RQ1목표 모델 미세 조정 후에도 LRP, Grad-CAM, SimpleGrad와 같은 해석 방법이 모델의 합리성을 신뢰할 수 있게 반영하는가?
  • RQ2수동적 속임(Location, Top-k, Center-mass)이 정확도에 큰 영향을 주지 않으면서 해석 가능성을 저하시키는가?
  • RQ3능동적 속임이 클래스 간 설명을 교환할 수 있으며, 이러한 조작이 해석기 간 전이 가능한가?
  • RQ4아키텍처(VGG19, ResNet50, DenseNet121) 및 적대적 학습과 같은 방어적 학습에서 속임 동작이 어떻게 달라지는가?

주요 결과

  • 해석 방법은 최소한의 정확도 손실로도(Top-1 ~2%, Top-5 ~1%) 악의적 모델 조작에 취약하다.
  • 수동적 속임은 검증 세트 전반에서 설명을 일관되게 오도할 수 있으며 해석기 간에 전이된다(LRP T, Grad-CAM, SimpleG T).
  • 능동적 속임은 두 클래스 간 설명을 교환할 수 있으며 아키텍처에 따라 성공 정도가 다르다( VGG19/ResNet50에서 높은 성공, DenseNet121에서 제한적 ).
  • 속임은 해석기 간 및 다른 아키텍처로 전이되며 시각화 기반 설명의 체계적 안정성 문제를 시사한다.
  • 이 조작은 간단한 섭동이나 적대적 학습으로 탐지되거나 되돌리기 어려울 수 있으며 가우시안 섭동 하에서도 지속될 수 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.