Summary

Motivation

• 딥 뉴럴 네트워크는 입력에 미세한 변화를 가하는 적대적 공격에 취약함
  • 적대적 샘플은 기계학습 시스템의 보안을 위협하므로 이를 탐지하는 것이 중요함
  • 적대적 탐지는 적대적 샘플을 탐지하고 거부함으로써 자연 정확도를 유지하고 보안 문제를 해결할 수 있음
• 기존의 탐지 방법들은 특정 공격이나 특정 분류기에 맞춰진 탐지기를 학습시키는 데 집중하여 알려지지 않은 공격이나 전이 가능한 공격에 취약함
• 적대적 탐지의 핵심은 자연 분포와 적대적 분포 간의 차이를 식별하는 것이지만, 고차원 공간에서 분포를 추정하거나 비교하는 것은 매우 어려운 과제임

Score 함수와 그 한계점

• 최근 연구에서는 Score 함수(로그 확률 밀도의 그래디언트, ${\mathrm{\nabla }}_x\log p(x)$)가 분포 비교를 위한 강력한 도구로 사용됨
  • Score 함수는 샘플이 자연 데이터의 고밀도 영역으로 향하는 방향을 나타내며, Score norm이 낮으면 샘플이 자연 분포를 따를 확률이 높음
• Yoon et al.(2021)은 정제 과정에서 Score norm을 사용하여 자연 샘플과 적대적 샘플을 구분하는 임계값으로 활용
  
• 그러나 단일 샘플의 Score만으로는 정보가 부족하여 적대적 샘플 식별에 한계가 있음:
  • 하나의 타임스텝에서의 Score는 타임스텝에 따라 크게 변동하여 신뢰성이 떨어짐
  • 단일 관점의 정보만으로는 복잡한 분포 차이를 충분히 포착하지 못함
  • Score norm만 사용하면 벡터의 방향 정보를 무시하게 됨

Method

Expected Perturbation Score (EPS)

• 정의: $$S(x) = E_{t\sim U(0,T)}[\nabla_x \log p_t(x)]$$
  • 시간 구간 [0, T] 내의 여러 타임스텝에서의 Score 함수의 기댓값 → 여러 타임스텝에서의 Score를 통합
• 가우시안 분포 가정 하에 EPS의 특성 분석(Theorem 1):
  • 자연 샘플 $x\sim p(x)$에 대해: $S(x)\sim N(0,{\sigma }_S^{2}I)$
  • 적대적 샘플 $\hat{y}=y+\epsilon$에 대해: $S(\hat{y})\sim N(-{\mu }_S,{\sigma }_S^{2}I)$
  • 이러한 **통계적 차이(평균 ${\mu }_S$)**로 인해 자연 샘플과 적대적 샘플을 명확히 구분 가능
• Score 모델 구현:
  • 사전 학습된 Diffusion Model을 사용하여 Score 함수 추정
  • Continuous-Time Diffusion Models의 forward와 reverse 과정 활용
    • Forward Process: $dx=f(x,t)dt+g(t)dw$ (원본→노이즈)
    • Reverse Process: $dx=[f(x,t)-g(t{)}^2{\mathrm{\nabla }}_x\log p_t(x)]dt+g(t)d\overline{w}$ (노이즈→원본)

EPS 기반 적대적 탐지 (EPS-AD)

$\left\{x_0^{(i)}\right\}$: Natural Image, ${\tilde{x}}_0$: Test Image

• EPS-AD 알고리즘 구성:
  1. 자연 샘플 집합과 테스트 샘플에 Forward Diffusion Process 적용 (타임스텝 T*)
  2. 각 샘플의 EPS 계산 (여러 타임스텝의 Score 통합)
  3. Deep Kernel MMD를 사용하여 테스트 샘플의 EPS와 자연 샘플들의 EPS 간 거리 측정
  4. MMD 값이 임계값보다 크면 테스트 샘플을 적대적 샘플로 분류
     • Clean 검증 셋에서 MMD 분포를 계산하고, 이 분포의 상위 95%를 임계값으로 설정
• Score norm의 제한 해결을 위한 MMD 활용:
  • Maximum Mean Discrepancy(MMD)를 사용해 테스트 샘플과 자연 샘플 간의 EPS 분포 차이 측정
  • MMD는 벡터의 방향 정보까지 고려하여 단순 norm보다 더 풍부한 정보 활용
  • 정의: $$\text{MMD}(p, q; F) = \sup_{f\in F} |E[f(X)] - E[f(Y)]|$$
    • 두 분포가 모든 차수의 모멘트에서 같아야 동일하며, 가장 큰 차이를 보이는 모멘트가 측정 기준 (수식의 $sup$)
    • Norm이 단순 크기인 것과 달리 MMD는 커널 함수를 통해 고차원으로 매핑하고 해당 공간에서는 방향 성분들이 보존됨

Method 검증

• CIFAR-10과 ImageNet에서 다양한 공격 방법에 대해 검증:
  • $L_{\mathrm{\infty }}$ 공격: PGD, FGSM, BIM 등 (픽셀별 최대 변화량 제한)
  • $L_2$ 공격: PGD-$L_2$, FGSM-$L_2$, BIM-$L_2$ 등 (전체적인 변화량 제한)
  • 총 12가지 공격 방법 테스트
• 실험 결과:
  • $\epsilon$=4/255일 때 대부분의 공격에 대해 AUROC 1.0000 달성 (KD, LID, MD 등 기존 방법보다 우수)
  • 낮은 공격 강도($\epsilon$=2/255)에서도 높은 성능 유지하여 민감한 적대적 샘플도 탐지 가능
  • 알려지지 않은 공격에 대한 일반화 성능 우수 (FGSM, FGSM-$L_2$로만 학습해도 다른 공격 탐지 가능)
  • 전이 가능한 공격에도 강인한 성능 (ResNet-50에서 훈련, ResNet-101에서 생성된 적대적 샘플 탐지)
• 제안 방법의 효과성 검증:
  • 다양한 타임스텝(T)에 대한 실험: EPS 기반 방법이 단일 Score 방법보다 타임스텝 변화에 더 안정적
  • EPS를 사용하지 않는 경우 ImageNet에서 AUROC가 약 28% 하락하여 EPS의 중요성 확인
  • 교란(Perturbations)을 추가하지 않으면 최대 4.84% 성능 하락하여 다중 교란의 효과 검증
  • 적응형 공격(Adaptive Attack)에도 높은 AUROC(0.9154) 유지하여 방법의 강인성 입증