Memory Efficient Full-gradient Attacks (MEFA) Framework for Adversarial Defense Evaluations
μμ±μ
- Haebom
μΉ΄ν
κ³ λ¦¬
Empty
μ μ
Yuan Du, Mitchel Hill, HanQin Cai
π‘ κ°μ
λ³Έ λ
Όλ¬Έμ λ°λ³΅μ μΈ νλ₯ μ μ ν λ°©μ΄ κΈ°λ²μ κ²¬κ³ μ± νκ°μμ λ°μνλ λ©λͺ¨λ¦¬ μ μ½ λ¬Έμ λ₯Ό ν΄κ²°νκ³ μ ν©λλ€. μ΄λ₯Ό μν΄ κ·ΈλΌλμΈνΈ 체ν¬ν¬μΈν
μ νμ©νμ¬ λ©λͺ¨λ¦¬ μ¬μ©λμ ν¬κ² μ€μ΄λ©΄μλ μ νν μ’
λ¨ κ° κ·ΈλΌλμΈνΈ κ³μ°μ κ°λ₯νκ² νλ MEFA(Memory Efficient Full-gradient Attacks) νλ μμν¬λ₯Ό μ μν©λλ€. MEFAλ κΈ°μ‘΄μ κ·Όμ¬ κ·ΈλΌλμΈνΈ κΈ°λ° κ³΅κ²©μ νκ³λ₯Ό 극볡νκ³ , νμ° λͺ¨λΈ λ° Langevin κΈ°λ° μ ν λ°©μ΄ κΈ°λ²μ λν κ°λ ₯ν νμ΄νΈλ°μ€ 곡격μ μννμ¬ λ°©μ΄ κΈ°λ²μ μ€μ κ²¬κ³ μ±μ λ³΄λ€ μ ννκ² νκ°ν μ μμμ 보μ¬μ€λλ€.
π μμ¬μ λ° νκ³
β’
μ νν κ·ΈλΌλμΈνΈ νκ°μ μ€μμ±: κΈ°μ‘΄ μ°κ΅¬μμ λ©λͺ¨λ¦¬ μ μ½μΌλ‘ μΈν΄ μ¬μ©λλ κ·Όμ¬ κ·ΈλΌλμΈνΈ λ°©λ²μ λ°©μ΄ κΈ°λ²μ κ²¬κ³ μ±μ κ³Όλνκ°ν μνμ΄ μμμ μμ¬ν©λλ€. MEFAλ μ νν κ·ΈλΌλμΈνΈ κΈ°λ° νκ°κ° λ°λ³΅μ νλ₯ μ λ°©μ΄ κΈ°λ²μ μ λ’°ν μ μλ λ²€μΉλ§νΉμ νμμ μμ κ°μ‘°ν©λλ€.
β’
μ μν 곡격μ κ°ν: MEFA νλ μμν¬λ₯Ό ν΅ν΄ μ μλ λ©λͺ¨λ¦¬ ν¨μ¨μ μΈ μμ κ·ΈλΌλμΈνΈ 곡격μ κΈ°μ‘΄μ κ·Όμ¬ κ³΅κ²©μΌλ‘λ λ°κ²¬νκΈ° μ΄λ €μ λ νμ° λͺ¨λΈ λ° Langevin κΈ°λ° μ ν λ°©μ΄ κΈ°λ²μ μ·¨μ½μ μ ν¨κ³Όμ μΌλ‘ μ°ΎμλΌ μ μμ΅λλ€.
β’
νλ₯ μ λ³λμ± μ μ΄μ νμμ±: λ°λ³΅μ μΈ νλ₯ μ μ ν κ³Όμ μμ λ°μνλ λ€μν μ ν κΆ€μ μ μν₯μ΄ κ²¬κ³ μ± μ§νμ μλΉν λ³νλ₯Ό μ€ μ μμΌλ―λ‘, μ΄λ¬ν νλ₯ μ λ³λμ±μ μ μ΄νλ νκ° νλ‘ν μ½μ΄ μ€μν¨μ 보μ¬μ€λλ€.
β’
νκ³μ λλ ν₯ν κ³Όμ : μ μλ MEFA νλ μμν¬λ νμ΄νΈλ°μ€ 곡격 μλ리μ€μ μ΄μ μ λ§μΆκ³ μμΌλ©°, μ€μ νκ²½μμ λ ννκ² μ¬μ©λλ λΈλλ°μ€ 곡격μ λν νμ₯μ± λ° ν¨μ¨μ±μ λν μΆκ°μ μΈ μ°κ΅¬κ° νμν μ μμ΅λλ€. λν, μ μλ νλ μμν¬μ λ€λ₯Έ μ νμ νλ₯ μ λ°©μ΄ κΈ°λ²μ λν μ μ© κ°λ₯μ± νꡬλ ν₯ν κ³Όμ κ° λ μ μμ΅λλ€.
