Нейросети под проверкой: аппаратный метод поиска уязвимостей

от

Автор: Денис Аветисян

Новый подход к проверке надежности бинарных нейронных сетей использует цифровые машины Изинга для выявления скрытых уязвимостей к намеренным искажениям.

🚀 Квантовые новости

Подключайся к потоку квантовых мемов, теорий и откровений из параллельной вселенной.
Только сингулярные инсайты — никакой скуки.

Присоединиться к каналу
Разработанный подход к верификации машины Изинга на основе DCIM успешно масштабируется до высокоразмерных входных данных, что подтверждено генерацией антагонистических примеров для полноразрешающей (28x28) бинарной нейронной сети.
Разработанный подход к верификации машины Изинга на основе DCIM успешно масштабируется до высокоразмерных входных данных, что подтверждено генерацией антагонистических примеров для полноразрешающей (28×28) бинарной нейронной сети.

Исследование демонстрирует, что неидеальные решения на базе DCIM-ускорителей могут эффективно верифицировать устойчивость бинарных нейросетей к adversarial атакам, предлагая масштабируемую альтернативу традиционным методам.

Верификация устойчивости бинарных нейронных сетей (BNN) представляет собой вычислительно сложную задачу, относящуюся к классу NP-трудных. В работе, озаглавленной ‘Scalable Digital Compute-in-Memory Ising Machines for Robustness Verification of Binary Neural Networks’, предлагается новый подход к решению данной проблемы, основанный на использовании цифровых вычислительных машин в памяти (DCIM), реализующих алгоритм Изинга. Показано, что даже неоптимальные решения, полученные на базе DCIM SRAM, способны эффективно выявлять антагонистические возмущения, подтверждая уязвимость BNN. Возможно ли дальнейшее масштабирование данного подхода и его применение к более сложным архитектурам нейронных сетей?

Вызов Сертифицированной Устойчивости

Бинарные нейронные сети (BNN) привлекают внимание благодаря своей вычислительной эффективности и возможности развертывания на устройствах с ограниченными ресурсами. Однако, несмотря на эти преимущества, BNN оказываются уязвимыми к так называемым «атакам возмущений» — незначительным, едва заметным изменениям входных данных, способным привести к ошибочным результатам работы сети. Эти возмущения, зачастую незаметные для человеческого глаза, могут существенно повлиять на процесс принятия решений нейронной сетью, что представляет серьезную проблему в приложениях, требующих высокой надежности и безопасности, таких как автономное вождение или медицинская диагностика. Уязвимость к возмущениям обусловлена дискретностью весов и активаций в BNN, что усиливает эффект даже небольших изменений входных данных.

Традиционные методы проверки устойчивости, такие как статистическое тестирование, зачастую не обеспечивают достаточных гарантий для применений, критичных к безопасности. В отличие от эмпирической оценки, основанной на проверке сети на ограниченном наборе входных данных, эти методы не могут математически доказать, что сеть будет правильно функционировать для всех возможных входных данных, даже тех, которые незначительно отличаются от проверенных. Это особенно проблематично в системах, где ошибка может привести к серьезным последствиям, например, в автономных транспортных средствах или медицинском оборудовании. Неспособность предоставить формальные гарантии надежности ограничивает использование статистических тестов в приложениях, требующих абсолютной уверенности в корректности работы системы, что обуславливает необходимость разработки методов сертифицированной устойчивости, способных предоставить математическое доказательство надежности.

Обеспечение надёжности бинарных нейронных сетей (BNN) требует не просто обнаружения уязвимостей, а сертифицированной устойчивости — математического доказательства их сопротивления к злонамеренным воздействиям. В отличие от традиционных методов проверки, основанных на статистическом тестировании, которые могут дать лишь вероятностную гарантию, сертифицированная устойчивость предоставляет формальное подтверждение того, что сеть будет функционировать корректно даже при определённых, заранее заданных атаках. Этот подход критически важен для систем, где ошибки недопустимы, таких как автономные транспортные средства или медицинское оборудование. \exists \epsilon > 0 , что сеть сохраняет правильный прогноз для любого входного сигнала, отличающегося от исходного не более чем на ε. Достижение сертифицированной устойчивости требует разработки новых алгоритмов и методов верификации, способных эффективно анализировать поведение BNN и предоставлять надёжные гарантии их безопасности.

Предложенная методика верификации устойчивости использует построение задачи QUBO из предобученной BNN и пары корректных входных-выходных данных для поиска возмущений, способных изменить выход BNN и создать adversarial example.
Предложенная методика верификации устойчивости использует построение задачи QUBO из предобученной BNN и пары корректных входных-выходных данных для поиска возмущений, способных изменить выход BNN и создать adversarial example.

Преобразование Задачи Устойчивости в Оптимизационную

Основная идея заключается в преобразовании задачи верификации устойчивости бинарных нейронных сетей (BNN) в формулировку квадратичной безусловной булевой оптимизации (QUBO). В рамках QUBO, поиск адверсарных возмущений представляется как задача оптимизации — нахождение входных данных, минимизирующих целевую функцию, связанную с ошибкой предсказания. Каждая переменная в QUBO представляет собой бинарный выбор (0 или 1), а целевая функция выражается как квадратичная форма этих переменных. Использование QUBO позволяет применять существующие, хорошо разработанные алгоритмы и решатели оптимизации, изначально предназначенные для других областей, к проблеме обеспечения надежности BNN. Формулировка QUBO также обеспечивает возможность применения аппаратных решателей, таких как квантовые отжиговые машины, для ускорения процесса верификации.

Формулировка задачи поиска возмущающих воздействий в терминах QUBO (Quadratic Unconstrained Boolean Optimization) преобразует ее в задачу оптимизации, где целью является минимизация функции потерь, связанной с ошибкой предсказания. В данном подходе, возмущения представляются как двоичные переменные, а функция потерь формируется таким образом, чтобы отражать расхождение между предсказанным классом для исходного и возмущенного входов, и величину самого возмущения. Минимизация этой функции посредством специализированных решателей QUBO позволяет эффективно находить минимальные по величине возмущения, приводящие к изменению предсказания модели. L = \alpha \cdot Error + \beta \cdot PerturbationSize, где Error — ошибка предсказания, а PerturbationSize — величина возмущения, а α и β — весовые коэффициенты, определяющие вклад каждого компонента в общую функцию потерь.

Формулировка задачи верификации устойчивости BNN в виде QUBO позволяет использовать существующие, высокопроизводительные оптимизационные солверы, изначально разработанные для решения задач из других областей, таких как логистика, финансы и машинное обучение. Эти солверы, включающие в себя алгоритмы, оптимизированные для работы с задачами квадратичной оптимизации без ограничений, предоставляют эффективный инструмент для поиска минимального значения целевой функции, соответствующей ошибке предсказания модели при воздействии возмущений. Использование готовых решений позволяет избежать необходимости разработки специализированных алгоритмов для верификации устойчивости, значительно сокращая время и ресурсы, необходимые для оценки надежности нейронных сетей.

В процессе отжига для экземпляра QUBO размером 1023x3x1 наблюдается эволюция энергии, при этом использование 8-битных коэффициентов приводит к иному результату по сравнению с полной точностью QUBO.
В процессе отжига для экземпляра QUBO размером 1023x3x1 наблюдается эволюция энергии, при этом использование 8-битных коэффициентов приводит к иному результату по сравнению с полной точностью QUBO.

Машины Изинга: Естественное Решение для QUBO

Машины Изинга представляют собой вычислительные устройства, разработанные специально для решения задач оптимизации, сформулированных в виде QUBO (Quadratic Unconstrained Binary Optimization). В отличие от универсальных вычислительных платформ, архитектура машин Изинга оптимизирована для непосредственного поиска решений QUBO-задач, что позволяет эффективно решать сложные комбинаторные задачи. В основе работы лежит представление бинарных переменных QUBO в виде спинов, взаимодействующих между собой в соответствии с определенной функцией энергии. Минимизация этой энергии соответствует нахождению оптимального решения исходной задачи QUBO.

Оптимизационный процесс в Ising-машинах реализуется путем сопоставления экземпляра QUBO с физической архитектурой устройства. В результате, задача оптимизации трансформируется в поиск состояния с минимальной энергией. Каждая переменная в QUBO соответствует спину в Ising-модели, а веса в QUBO — взаимодействию между спинами. Минимизация энергии системы спинов, подчиняющейся заданным взаимодействиям, эквивалентна нахождению оптимального решения исходной задачи QUBO. Такой подход позволяет использовать физические свойства Ising-машины для эффективного решения сложных оптимизационных задач.

Архитектура Ising на базе SRAM DCIM (Digital Current-Mode Logic) представляет собой компактную и эффективную реализацию подхода к решению задач оптимизации. Использование цифровой логики, работающей с током, позволяет добиться высокой плотности компоновки и снизить энергопотребление. Достигнутая площадь кристалла составляет всего 31.8 мм², что делает данную архитектуру перспективной для интеграции в системы с ограниченными ресурсами и для масштабирования до более крупных систем решения задач оптимизации.

Архитектура SRAM DCIM Ising демонстрирует практичную систему верификации устойчивости нейронных сетей (BNN), достигающую сопоставимой или превосходящей производительности по сравнению с алгоритмом имитации отжига. В ходе тестов, предложенная архитектура показала эффективность в оценке устойчивости BNN к различным возмущениям входных данных. Полученные результаты указывают на возможность использования Ising Machines в качестве эффективного инструмента для проверки и обеспечения надежности нейронных сетей, особенно в критически важных приложениях.

Сравнение распределений энергии, полученных на 2000 образцах, показывает, что 8-битная квантизация незначительно влияет на результаты по сравнению с полной точностью QUBO в предложенной машине DCIM Ising.
Сравнение распределений энергии, полученных на 2000 образцах, показывает, что 8-битная квантизация незначительно влияет на результаты по сравнению с полной точностью QUBO в предложенной машине DCIM Ising.

Интерпретация Несовершенных Решений и Энергетический Ландшафт

В задачах оптимизации, стремящихся к идеальному решению, часто возникает ситуация, когда поиск абсолютного минимума энергии становится непосильным из-за сложности вычислительных процессов. Вместо этого, алгоритмы нередко останавливаются на локальных минимумах — состояниях, которые являются оптимальными лишь в ограниченной области поиска. Такие неидеальные решения, хотя и не представляют собой наилучший ответ, всё же предоставляют ценную информацию о структуре энергетического ландшафта и позволяют выявлять небольшие изменения, способные существенно повлиять на результат. Признание этой принципиальной сложности и фокусировка на приближенных решениях открывает путь к разработке более эффективных и практичных алгоритмов, способных находить приемлемые ответы в разумные сроки, даже в условиях высокой сложности задачи.

Несмотря на то, что поиск абсолютно минимального энергетического состояния часто оказывается невыполнимой задачей, полученные неидеальные решения, представляющие собой локальные минимумы на энергетическом ландшафте, всё же позволяют выявить наличие антагонистических воздействий. Эти локальные минимумы, хотя и не являются глобально оптимальными, содержат информацию о чувствительности системы к небольшим изменениям входных данных, что указывает на возможность создания возмущающих факторов, способных нарушить её нормальную работу. Анализ этих неидеальных решений позволяет исследователям понять, какие области пространства входных данных наиболее уязвимы, и, следовательно, разработать более устойчивые алгоритмы и системы. Таким образом, даже приближенные решения в сложных задачах оптимизации несут ценную информацию о потенциальных угрозах и возможностях для улучшения.

Представленный подход демонстрирует значительное повышение эффективности поиска атак на системы машинного обучения. Исследования показали, что разработанная аппаратная реализация обеспечивает ускорение сходимости в 178 раз по сравнению с традиционными CPU-based решениями. Помимо этого, наблюдается впечатляющее увеличение энергоэффективности — в 1538 раз. Данные результаты свидетельствуют о потенциале специализированного аппаратного обеспечения для существенного снижения вычислительных затрат и энергопотребления при генерации adversarial perturbations, что открывает возможности для более быстрых и экономичных методов анализа и защиты систем искусственного интеллекта.

Аппаратное обеспечение продемонстрировало выдающуюся способность генерировать значительное количество уникальных возмущений, что свидетельствует о его эффективности в исследовании разнообразных областей пространства поиска противника. Эта способность позволяет не просто обнаруживать уязвимости, но и активно исследовать различные векторы атак, значительно расширяя возможности по оценке и повышению устойчивости систем машинного обучения. По сути, устройство способно создавать широкий спектр «атакующих» сигналов, что обеспечивает более полное понимание слабых мест модели и позволяет разрабатывать более надежные механизмы защиты, превосходящие традиционные методы, ограниченные в возможности охвата пространства поиска.

Наш решатель DCIM успешно обнаружил уникальные возмущения, приводящие к успешной атаке.
Наш решатель DCIM успешно обнаружил уникальные возмущения, приводящие к успешной атаке.

Исследование демонстрирует, что даже несовершенные решения, полученные на базе DCIM Ising машины, способны эффективно верифицировать устойчивость бинарных нейронных сетей к adversarial perturbations. Этот подход предлагает масштабируемую альтернативу традиционным методам проверки, что особенно важно в контексте растущей сложности современных систем искусственного интеллекта. Как говорил Андрей Колмогоров: «Математика — это искусство открывать закономерности в хаосе». В данном исследовании, поиск устойчивости в сложных нейронных сетях, можно рассматривать как проявление этого искусства, где алгоритмы выявляют закономерности, скрытые в кажущемся хаосе данных.

Что впереди?

Представленная работа демонстрирует, что несовершенство — неотъемлемая часть функционирования систем, и даже ошибки в работе SRAM-основанного DCIM Ising-машины могут быть использованы для верификации устойчивости двоичных нейронных сетей. Это не парадокс, а скорее констатация того, что абсолютная точность — иллюзия, а ценность заключается в способности системы адаптироваться и выявлять нарушения даже при наличии внутренних дефектов. Логирование, в данном контексте, становится хроникой жизни системы, фиксирующей не только успехи, но и моменты уязвимости.

Однако, вопрос о масштабируемости остается открытым. Увеличение сложности сетей и объемов данных требует дальнейшей оптимизации архитектуры DCIM и разработки алгоритмов, способных эффективно обрабатывать все более сложные QUBO-задачи. Развертывание, в сущности, — это лишь мгновение на оси времени, а истинное испытание заключается в долгосрочной стабильности и надежности системы.

В конечном итоге, поиск компромисса между скоростью, точностью и энергоэффективностью — это вечная дилемма. Будущие исследования должны быть направлены не только на улучшение аппаратной части, но и на разработку новых методов верификации, способных учитывать непредсказуемость и динамичность реальных условий эксплуатации. Все системы стареют — вопрос лишь в том, делают ли они это достойно.

Оригинал статьи: https://arxiv.org/pdf/2603.05677.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-03-09 11:26