적대적 공격 대응 신경망을 위한 강인함 기반 필터 프루닝 방법

Abstract

Today, neural networks show remarkable performance in various computer vision tasks, but they are vulnerable to adversarial attacks. By adversarial training, neural networks may improve robustness against adversarial attacks. However, it is a time-consuming and resourceintensive task. An earlier study analyzed adversarial attacks on the image features and proposed a robust dataset that would contain only features robust to the adversarial attack. By training with the robust dataset, neural networks can achieve a decent accuracy under adversarial attacks without carrying out time-consuming adversarial perturbation tasks. However, even if a network is trained with the robust dataset, it may still be vulnerable to adversarial attacks. In this paper, to overcome this limitation, we propose a new method called Robustness-aware Filter Pruning(RFP). To the best of our knowledge, it is the first attempt to utilize a filter pruning method to enhance the robustness against the adversarial attack. In the proposed method, the filters that are involved with nonrobust features are pruned. With the proposed method, 52.1% accuracy against one of the most powerful adversarial attacks is achieved, which is 3.8% better than the previous robust dataset training while maintaining clean image test accuracy. Also, our method achieves the best performance when compared with the other filter pruning methods on robust dataset.|최근 컨볼루션 신경망(Convolutional Neural Network)은 컴퓨터 비전의 여러 분야에 있어 뛰어난 성능을 보이고 있다. 하지만 이러한 컨볼루션 신경망은 이미지에 특정한 노이즈를 주입하는 공격인 적대적 공격(adversarial attack)에 취약하다. 이에 대응하기 위한 적대적 학습(adversarial training)은 적대적 공격에 대해 뛰어난 방어 성능을 보이지만 많은 시간과 자원이 소요된다. 이전의 연구에서는 적대적 공격을 이미지의 관점에서 분석하여 이미지의 특징을 적대적 공격에 대해 강인한 특징(robust feature)과 강인하지 않은 특징(non-robust feature)으로 분류하였다. 또한, 강인하지 않은 특징이 적대적 공격을 유발함을 보이고, 이를 제거한 데이터셋을 구축하였다. 이렇게 만들어진 강인한 데이터셋(robust dataset)을 이용한 신경망 학습은 적대적 학습 없이도 어느 정도 적대적 공격을 견딜 수 있지만 강인한 데이터셋을 이용한 학습도 여전히 적대적 공격에 취약하다. 본 논문에서는 이러한 강인한 데이터셋을 이용한 빠른 학습의 장점은 유지하며 적대적 공격에 대응하기 위해 강인함 기반 필터 프루닝 방법(Robustness-aware Filter Pruning, RFP)을 제안한다. 강인함 기반 필터 프루닝 방법은 신경망 내에서 이미지의 강인하지 않은 특징을 추출하는 필터를 정의해 제거하는 방법이다. 실험 결과, 제안하는 방법인 강인함 기반 필터 프루닝 방법은 이전의 강인한 데이터셋을 이용한 학습보다 6.24% 향상된 적대적 공격에 대한 정확도(adversarial accuracy)을 보였다. 또한 제안하는 방법은 적대적 공격에 대응에 대해 필터 프루닝을 처음으로 활용한 방법이며, 기존의 다른 필터 프루닝 방법과 비교했을 때에도 가장 좋은 성능을 보였다.