Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Skip Connections Matter: On the Transferability of Adversarial Examples Generated with ResNets

Dongxian Wu, Yisen Wang|arXiv (Cornell University)|2020. 02. 14.
Adversarial Robustness in Machine Learning인용 수 175
한 줄 요약

본 논문은 ResNet 계열 아키텍처의 스킵 연결이 높은 수준의 전달 가능한 적대적 예제를 촉진한다는 것을 드러내고, Skip Gradient Method (SGM)를 도입하여 기울기를 스킵 연결 쪽으로 편향시킴으로써 많은 모델과 공격 설정에서 큰 전달성 이득을 얻는다.

ABSTRACT

Skip connections are an essential component of current state-of-the-art deep neural networks (DNNs) such as ResNet, WideResNet, DenseNet, and ResNeXt. Despite their huge success in building deeper and more powerful DNNs, we identify a surprising security weakness of skip connections in this paper. Use of skip connections allows easier generation of highly transferable adversarial examples. Specifically, in ResNet-like (with skip connections) neural networks, gradients can backpropagate through either skip connections or residual modules. We find that using more gradients from the skip connections rather than the residual modules according to a decay factor, allows one to craft adversarial examples with high transferability. Our method is termed Skip Gradient Method(SGM). We conduct comprehensive transfer attacks against state-of-the-art DNNs including ResNets, DenseNets, Inceptions, Inception-ResNet, Squeeze-and-Excitation Network (SENet) and robustly trained DNNs. We show that employing SGM on the gradient flow can greatly improve the transferability of crafted attacks in almost all cases. Furthermore, SGM can be easily combined with existing black-box attack techniques, and obtain high improvements over state-of-the-art transferability methods. Our findings not only motivate new research into the architectural vulnerability of DNNs, but also open up further challenges for the design of secure DNN architectures.

연구 동기 및 목표

  • 스킵-연결 네트워크에서 적대적 전달성에 영향을 주는 아키텍처적 요인을 식별한다.
  • 스킵 연결 쪽으로 기울기를 편향시키는 간단한 그래디언트 기반 공격 개선(SGM)을 제안한다.
  • 다수의 원본/대상 모델 쌍 및 강건하게 학습된 모델에 대해 SGM을 평가한다.
  • SGM이 기존의 전달 기법과 결합될 때 전달성 벤치마크를 개선하는 방법을 보인다.

제안 방법

  • ResNet 유사 네트워크에서 스킵 연결 및 잔차 모듈을 따라 기울기를 분해한다.
  • 잔차 모듈의 기울기를 점진적으로 약화시키는 감쇠 인자 gamma를 도입하되, 스킵 경로의 기울기는 보존한다.
  • 편향된 기울기 항으로 FGSM/PGD 업데이트를 수정하여 Skip Gradient Method(SGM)를 정의한다.
  • SGM을 BIM/PGD 스타일 공격에서 Demonstrate하고 8개의 원천 모델과 7개의 대상 모델(보안 여부)에 대해 전달성을 평가한다.
  • Inception V3를 대상(target)으로 하는 블랙박스 공격에서 SGM을 사용할 때 전달 이득을 보여주는 사례 연구를 수행한다.
  • SGM의 호환성과 개선을 평가하기 위해 MI, DI, TI 및 앙상블 기반 공격과의 조합을 탐구한다.

실험 결과

연구 질문

  • RQ1스킵 연결이 적대적 예제의 기울기 흐름 및 전달성에 어떤 영향을 미치는가?
  • RQ2SGM을 통해 기울기 역전파를 스킵 연결 쪽으로 편향하면 모델 간 전달성을 개선할 수 있는가?
  • RQ3SGM이 기존의 전달 기법(MI, DI, TI) 및 강건하게 학습된 대상과 어떻게 상호 작용하는가?
  • RQ4더 많은 스킵 연결(예: DenseNet)이 SGM의 전달성 이점을 증폭시키는가?

주요 결과

  • SGM은 대부분의 원천 모델과 대상 아키텍처 간의 블랙박스 전달성을 크게 향상시키며(예: DN201에서 Inception V3로의 전달이 35.48%에서 65.38%로 증가).
  • 더 많은 스킵 연결은 일반적으로 SGM 하에서 더 큰 전달성 이득을 가져오며, ResNet 및 DenseNet 계열에서 명확한 개선이 나타난다.
  • SGM은 MI, DI 및 TI와 함께 사용하여 새로운 전달성 벤치마크를 달성할 수 있다(예: MI+DI+SGM이 여러 대상에서 80%에 근접하거나 이상).[주석]
  • 강건하게 학습된 대상에 대해 만들어진 공격은 더 저항적이지만, TI가 보안 모델에 대해 독립적 전달 방법 중 가장 강력한 편이고 SGM은 결합 시 추가 이득을 제공한다.
  • 감쇠 매개변수 gamma는 다수의 잠재 대상에 걸친 전달성을 최적화하기 위해 원천 모델에서 조정될 수 있으며, SGM을 포함한 앙상블 기반 공격도 여전히 강력한 성능을 유지한다.
  • SGM은 역전파 시 잔차 경로를 따라 기울기를 스케일링하기만 하면 되므로 표준 역전파를 넘는 추가 계산이 필요 없다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.