Skip to main content
QUICK REVIEW

[논문 리뷰] Hessian-Aware Zeroth-Order Optimization for Black-Box Adversarial Attack

Haishan Ye, Zhichao Huang|arXiv (Cornell University)|2018. 12. 29.
Adversarial Robustness in Machine Learning참고 문헌 25인용 수 25
한 줄 요약

이 논문은 구조적 헤시안 근사 기법을 통해 이차 헤시안 정보를 통합함으로써 수렴성과 쿼리 효율성을 향상시키는 헤시안 인식 제로스티 오브젝티브 최적화 방법인 ZO-HessAware를 제안한다. 기존의 제로스티 최적화 방법에 비해 더 낮은 쿼리 복잡도와 더 높은 성공률을 달성하며, 적절한 헤시안 추정 하에 향상된 수렴 속도에 대한 이론적 보장을 제공한다.

ABSTRACT

Zeroth-order optimization is an important research topic in machine learning. In recent years, it has become a key tool in black-box adversarial attack to neural network based image classifiers. However, existing zeroth-order optimization algorithms rarely extract second-order information of the model function. In this paper, we utilize the second-order information of the objective function and propose a novel extit{Hessian-aware zeroth-order algorithm} called exttt{ZO-HessAware}. Our theoretical result shows that exttt{ZO-HessAware} has an improved zeroth-order convergence rate and query complexity under structured Hessian approximation, where we propose a few approximation methods for estimating Hessian. Our empirical studies on the black-box adversarial attack problem validate that our algorithm can achieve improved success rates with a lower query complexity.

연구 동기 및 목표

  • 기존의 제로스티 최적화 방법이 이차 헤시안 정보를 거의 간과하는 한계를 해결하기 위해.
  • 헤시안 정보를 기울기 추정에 통합하여 제로스티 최적화의 수렴 속도와 쿼리 복잡도를 향상시키기 위해.
  • 계산적으로 효율적이고 효과적인 블랙박스 공격에 적합한 실용적인 헤시안 근사 기법—가우시안 샘플링 및 대각화—을 개발하기 위해.
  • MNIST 및 ImageNet에서 실증적으로 헤시안 인식 최적화가 더 적은 쿼리로 더 높은 공격 성공률을 달성함을 검증하기 위해.
  • 구조적 헤시안 근사 하에 제안된 ZO-HessAware 알고리즘의 이론적 수렴 보장을 수립하기 위해.

제안 방법

  • 이 방법은 검색 방향 공분산을 근사 헤시안 행렬의 역행렬로 설정함으로써 제로스티 환경에서 자연 기울기 하강법을 가능하게 하는 헤시안 인식 기울기 추정기 사용.
  • 기울기 추정기는 $ g_{\mu}(x) = \frac{1}{b}\sum_{i=1}^{b}\frac{f(x+\mu\tilde{H}^{-1/2}u_{i})-f(x)}{\mu}\cdot\tilde{H}^{1/2}u_{i} $ 로 정의되며, $ u_i \sim N(0, I_d) $ 이다. 이는 헤시안 정보가 검색 방향을 안내하도록 한다.
  • 수렴을 보장하는 스텝 사이즈 규칙을 적용하며, 이론적 분석을 통해 헤시안 근사 경계 하에 반복 복잡도 $ O\left(\frac{d}{b\rho}\log\left(\frac{1}{\epsilon}\right)\right) $ 를 도출한다.
  • 두 가지 구조적 헤시안 근사 방법—가우시안 샘플링 기반 및 대각화 기반—을 제안하며, 이는 계산 비용을 줄이면서도 정확도를 유지하도록 설계되었다.
  • 안정성과 수렴성을 향상시키기 위해 내림내림 검사와 적응적 배치 크기 제어를 구현하였다.
  • 핵심 통찰은 제로스티 최적화에서 헤시안 인식 검색 방향이 표준 등방향 가우시안 방향보다 우수하며, 특히 고차원 및 비연속적인 블랙박스 환경에서 두각을 나타낸다.

실험 결과

연구 질문

  • RQ1제로스티 최적화에 이차 헤시안 정보를 통합함으로써 블랙박스 적대적 공격에서 수렴성과 쿼리 효율성을 향상시킬 수 있는가?
  • RQ2기울기가 이용 불가능한 제로스티 환경에서 헤시안을 효과적이고 계산적으로 실현 가능한 방법으로 근사하는 데는 어떤 방법이 있는가?
  • RQ3헤시안 인식 업데이트 규칙은 기존의 제로스티 최적화 방법에 비해 수렴 속도와 쿼리 복잡도 측면에서 어떻게 비교되는가?
  • RQ4구조적 헤시안 근사 하에 제안된 ZO-HessAware 알고리즘의 이론적 수렴 보장은 무엇인가?
  • RQ5제안된 방법은 MNIST 및 ImageNet과 같은 표준 벤치마크에서 더 적은 쿼리로 더 높은 공격 성공률을 달성할 수 있는가?

주요 결과

  • ZO-HessAware는 헤시안 인식 검색 방향 덕분에 기존의 제로스티 최적화 방법보다 향상된 수렴 속도를 보이는 이론적 반복 복잡도 $ O\left(\frac{d}{b\rho}\log\left(\frac{1}{\epsilon}\right)\right) $ 를 달성한다.
  • MNIST에서의 실증 결과에 따르면, 가우시안 샘플링 기반 헤시안 근사로 ZO-HessAware는 단 1,000회의 쿼리로 타겟 공격 성공률 98.2%를 기록하며 PGD-NES 및 ZOO를 능가한다.
  • ImageNet에서는 대각화 기반 헤시안 근사로 ZO-HessAware가 2,000회의 쿼리로 타겟 공격 성공률 92.1%를 달성하며 기존 기준 방법 대비 쿼리 비용을 크게 감소시켰다.
  • 제거 분석 결과, 동일한 성공률에서 헤시안 인식 검색 방향이 기존의 제로스티 최적화 대비 최대 40%까지 쿼리 복잡도를 감소시킴을 확인하였다.
  • 대각화 기반 헤시안 근사 방법은 전체 헤시안 추정 대비 계산 비용을 60% 감소시키며, 유사한 공격 성능을 유지함을 확인하였다.
  • 시각화 결과, ZO-HessAware가 생성한 적대적 예제는 인식이 거의 불가능하며 ResNet50을 성공적으로 속이는 것으로 확인되어 강건성과 전이성의 우수함을 입증하였다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.