David and Goliath: An Empirical Evaluation of Attacks and Defenses for QNNs at the Deep Edge

要約

ML はクラウドからエッジに移行しています。
エッジ コンピューティングにより、プライベート データが公開される表面が減り、リアルタイム アプリケーションで信頼性の高いスループット保証が可能になります。
エッジに導入される多数のデバイスの中で、Arm Cortex-M などのリソースに制約のある MCU がより普及しており、アプリケーション プロセッサや GPU よりも桁違いに安価で、消費電力も少ないです。
したがって、ディープエッジでインテリジェンスを実現することが時代精神であり、研究者は、これらの制約のあるデバイスに ANN を展開するための新しいアプローチを明らかにすることに重点を置いています。
量子化は、MCU 上でのニューラル ネットワークの展開を可能にするのに効果的であることが証明されている確立された技術です。
ただし、敵対的な例に直面した場合の QNN の堅牢性を理解することは依然として未解決の問題です。
このギャップを埋めるために、(制約された) QNN に対する (完全精度) ANN からの攻撃と防御の有効性を経験的に評価します。
私たちの評価には、TinyML アプリケーションをターゲットとした 3 つの QNN、10 件の攻撃、6 件の防御が含まれています。
この研究により、一連の興味深い発見が得られました。
まず、量子化により、判定境界までのポイント距離が増加し、一部の攻撃によって推定される勾配が爆発または消滅します。
第 2 に、量子化はノイズの大きさに応じてノイズ減衰器または増幅器として機能し、勾配の不整合を引き起こす可能性があります。
敵対的防御に関しては、入力前処理防御は小さな摂動に対して素晴らしい結果を示すと結論付けています。
ただし、摂動が増加すると不十分になります。
同時に、トレインベースの防御により、量子化後も維持される決定境界までの平均ポイント距離が増加します。
しかし、我々は、トレインベースの防御は、敵対的なサンプルの QNN への転送可能性に対抗するために、量子化シフトと勾配の不整合現象を平滑化する必要があると主張します。
すべてのアーティファクトはオープンソースであり、結果を独立して検証できます。

要約(オリジナル)

ML is shifting from the cloud to the edge. Edge computing reduces the surface exposing private data and enables reliable throughput guarantees in real-time applications. Of the panoply of devices deployed at the edge, resource-constrained MCUs, e.g., Arm Cortex-M, are more prevalent, orders of magnitude cheaper, and less power-hungry than application processors or GPUs. Thus, enabling intelligence at the deep edge is the zeitgeist, with researchers focusing on unveiling novel approaches to deploy ANNs on these constrained devices. Quantization is a well-established technique that has proved effective in enabling the deployment of neural networks on MCUs; however, it is still an open question to understand the robustness of QNNs in the face of adversarial examples. To fill this gap, we empirically evaluate the effectiveness of attacks and defenses from (full-precision) ANNs on (constrained) QNNs. Our evaluation includes three QNNs targeting TinyML applications, ten attacks, and six defenses. With this study, we draw a set of interesting findings. First, quantization increases the point distance to the decision boundary and leads the gradient estimated by some attacks to explode or vanish. Second, quantization can act as a noise attenuator or amplifier, depending on the noise magnitude, and causes gradient misalignment. Regarding adversarial defenses, we conclude that input pre-processing defenses show impressive results on small perturbations; however, they fall short as the perturbation increases. At the same time, train-based defenses increase the average point distance to the decision boundary, which holds after quantization. However, we argue that train-based defenses still need to smooth the quantization-shift and gradient misalignment phenomenons to counteract adversarial example transferability to QNNs. All artifacts are open-sourced to enable independent validation of results.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google