[论文解读] Reachability Analysis of Deep Neural Networks with Provable Guarantees
本文提出了一种用于深度神经网络(DNNs)的新颖可验证性分析框架,基于利普希茨连续性与自适应嵌套优化,提供可证明的保证。该框架支持安全验证、输出范围分析及鲁棒性评估,适用于多种DNN架构,包括使用Sigmoid和Softmax等非ReLU激活函数的网络,并可扩展至拥有数百万个神经元的大规模网络——在可扩展性和层支持方面优于最先进的基于约束的验证方法。
Verifying correctness of deep neural networks (DNNs) is challenging. We study a generic reachability problem for feed-forward DNNs which, for a given set of inputs to the network and a Lipschitz-continuous function over its outputs, computes the lower and upper bound on the function values. Because the network and the function are Lipschitz continuous, all values in the interval between the lower and upper bound are reachable. We show how to obtain the safety verification problem, the output range analysis problem and a robustness measure by instantiating the reachability problem. We present a novel algorithm based on adaptive nested optimisation to solve the reachability problem. The technique has been implemented and evaluated on a range of DNNs, demonstrating its efficiency, scalability and ability to handle a broader class of networks than state-of-the-art verification approaches.
研究动机与目标
- 为解决在安全关键应用中验证深度神经网络正确性与鲁棒性的挑战。
- 开发一个通用的可验证性问题,用于计算任意输入子空间上利普希茨连续输出函数的可证明下界与上界。
- 克服现有基于约束的验证方法的局限性,这些方法仅限于仅含ReLU的网络,且无法扩展至大规模模型。
- 实现对具有数百万个神经元及非线性层(如Sigmoid、最大池化和Softmax)的最先进DNN的验证。
- 提供一种可扩展、可证明且通用的框架,用于DNN的安全认证,超越对抗鲁棒性范畴。
提出的方法
- 该方法将通用可验证性问题形式化,用于在给定输入子空间上计算DNN输出任意利普希茨连续函数的可证明边界。
- 通过解析计算所有标准DNN层(包括ReLU、Sigmoid、最大池化和Softmax)的紧致利普希茨常数,利用其利普希茨连续性。
- 提出一种自适应嵌套优化算法,无需离散化输入空间,即可高效计算输出函数的全局下界与上界。
- 该方法不依赖MILP、SAT或SMT求解器,而是采用基于网络利普希茨性质的连续优化,具有收敛性保证。
- 该方法的计算复杂度取决于需扰动的输入维度数量,而非隐藏神经元数量,从而实现对大规模模型的可扩展性。
- 所实现的工具名为DeepGO,在ACAS-Xu和大型网络(如AlexNet)上进行了评估,表现出优越的可扩展性与层支持能力。
实验结果
研究问题
- RQ1能否开发一种可验证性分析框架,对任意利普希茨连续函数的DNN输出提供可证明的边界,且不依赖激活函数类型?
- RQ2如何在突破基于约束求解器的局限性(这些求解器在大规模网络上失效)的前提下,提升DNN验证的可扩展性?
- RQ3能否在可证明的验证框架中正式处理非ReLU层(如Sigmoid、Softmax和最大池化)?
- RQ4所提出的方法在运行时间、层支持及对真实世界大规模DNN的适用性方面是否优于现有工具?
- RQ5该方法能否以系统化、定量的方式量化鲁棒性,并对不同DNN架构的安全性进行比较?
主要发现
- 所提出的方法成功验证了最多19层的DNN,而Reluplex和BaB等现有工具仅限于6层。
- 该方法可扩展至拥有数百万个神经元的网络(如AlexNet,650万个神经元),而基于约束的工具(如MIP和BaB)仅限于数百个神经元。
- 该方法支持所有标准DNN层,包括Sigmoid、Softmax和最大池化——而SHERLOCK和Reluplex则仅限于ReLU。
- 在ACAS-Xu网络上,尽管运行在性能较弱的硬件上,该方法的性能与BaB相当,且优于其他基于约束的工具。
- 计算复杂度关于输入维度为NP完全,而非隐藏神经元数量,从而为大规模模型提供了更好的可扩展性。
- 该框架支持定量鲁棒性比较:例如,DNN-4在Feature-3上的输出范围为[94.2%,100%],表明其具有更优的鲁棒性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。