Бинарные нейросети под защитой: новый подход к проверке устойчивости

от

Автор: Денис Аветисян

Исследователи предложили инновационный метод верификации устойчивости бинарных нейронных сетей к атакам, используя принципы квантовых вычислений.

🚀 Квантовые новости

Подключайся к потоку квантовых мемов, теорий и откровений из параллельной вселенной.
Только сингулярные инсайты — никакой скуки.

Присоединиться к каналу
В рамках верификации двоичных нейронных сетей (BNN) реализована трансформация логической задачи в формат QUBO, пригодный для решения на кванновых компьютерах, где положительные и отрицательные связи в матрице QUBO отображают логические взаимодействия, а физическая топология процессора D-Wave Pegasus используется для реализации этих связей посредством физических кубитов и соединений между ними.
В рамках верификации двоичных нейронных сетей (BNN) реализована трансформация логической задачи в формат QUBO, пригодный для решения на кванновых компьютерах, где положительные и отрицательные связи в матрице QUBO отображают логические взаимодействия, а физическая топология процессора D-Wave Pegasus используется для реализации этих связей посредством физических кубитов и соединений между ними.

Предложенная методика формулирует задачу проверки устойчивости как задачу квадратичной булевой оптимизации, позволяя использовать квантово-вдохновлённое оборудование для анализа масштабируемых нейронных сетей.

Несмотря на растущую популярность бинарных нейронных сетей (BNN) в задачах периферийных вычислений, верификация их устойчивости к возмущениям, включая состязательные атаки, остается сложной вычислительной задачей. В данной работе, ‘Robustness Verification of Binary Neural Networks: An Ising and Quantum-Inspired Framework’, предлагается новый подход, основанный на принципах Изинга и квантовых вычислений, для решения этой проблемы. Авторы демонстрируют, что задача верификации устойчивости BNN может быть сформулирована как задача квадратичной булевой оптимизации (QUBO), что позволяет использовать специализированное аппаратное обеспечение. Открывает ли данная методика путь к созданию надежных систем искусственного интеллекта, способных эффективно функционировать в условиях непредсказуемых воздействий?

Нейронные сети и хрупкость предсказаний

Современные нейронные сети, несмотря на свою впечатляющую производительность, оказываются уязвимыми к так называемым «атакам возмущений» — едва заметным изменениям во входных данных, которые способны привести к ошибочным предсказаниям. Эти возмущения, зачастую неразличимые для человеческого глаза, намеренно создаются злоумышленниками для обхода систем распознавания образов или классификации. Феномен обусловлен нелинейностью функций, используемых в нейронных сетях, и высокой чувствительностью к незначительным изменениям в пространстве входных данных. Исследователи демонстрируют, что даже добавление к изображению едва заметного шума может заставить нейронную сеть ошибочно классифицировать объект, например, принять знак «стоп» за знак скорости. Данная уязвимость представляет серьезную проблему для приложений, где надежность критически важна, таких как автономное вождение и медицинская диагностика.

Обеспечение устойчивости нейронных сетей к намеренным искажениям входных данных — задача первостепенной важности для систем, функционирующих в критических областях, таких как автономное вождение, медицинская диагностика и системы безопасности. Даже незначительные, едва заметные для человека изменения во входном сигнале могут привести к ошибочным предсказаниям, что недопустимо в ситуациях, где цена ошибки — человеческая жизнь или значительный материальный ущерб. Поэтому, верификация правильности работы нейронных сетей в условиях преднамеренных возмущений является не просто академической проблемой, а необходимой мерой для обеспечения надежности и безопасности критически важных приложений, где требуется абсолютная уверенность в правильности принимаемых решений.

Современные нейронные сети, несмотря на свою впечатляющую производительность, представляют собой сложную задачу для формальной верификации. Традиционные методы, успешно применяемые для более простых систем, сталкиваются с экспоненциальным ростом вычислительной сложности при анализе глубоких сетей. Это связано с огромным количеством параметров и нелинейных взаимодействий внутри нейронной сети, что делает исчерпывающую проверку всех возможных входных данных практически невозможной. В результате, гарантии надежности, необходимые для критически важных приложений, таких как автономное вождение или медицинская диагностика, остаются неудовлетворительными. Поэтому, активно разрабатываются новые подходы, включая абстрактную интерпретацию, символическое выполнение и методы, основанные на обучении с подкреплением, чтобы преодолеть эти ограничения и обеспечить надежность нейронных сетей в реальных условиях.

Небольшие возмущения в бинаризованных изображениях MNIST, первоначально классифицированных верно, приводят к ошибкам, при этом синие и серые пиксели обозначают значения +1 и -1 соответственно, а красные и фиолетовые - изменения этих значений, вызванные алгоритмами Simulated Annealing и Free Energy Machine (второй и третий столбцы).
Небольшие возмущения в бинаризованных изображениях MNIST, первоначально классифицированных верно, приводят к ошибкам, при этом синие и серые пиксели обозначают значения +1 и -1 соответственно, а красные и фиолетовые — изменения этих значений, вызванные алгоритмами Simulated Annealing и Free Energy Machine (второй и третий столбцы).

От нейронных сетей к квадратичной оптимизации

Проблема верификации устойчивости нейронных сетей решается путем преобразования в формулировку квадратичной неограниченной бинарной оптимизации (QUBO). Такой подход позволяет использовать мощные оптимизационные решатели, разработанные для бинарных переменных, что упрощает процесс верификации. Формулировка QUBO представляет задачу в виде функции, минимизирующей или максимизирующей квадратичную функцию от бинарных переменных, при заданных ограничениях, что позволяет эффективно находить решения с использованием специализированных алгоритмов и аппаратного обеспечения.

Преобразование задачи верификации устойчивости нейронной сети в формулировку Quadratic Unconstrained Binary Optimization (QUBO) позволяет использовать специализированные решатели, оптимизированные для работы с бинарными переменными. Это существенно упрощает процесс верификации, поскольку стандартные методы, предназначенные для непрерывных переменных, становятся неприменимыми или требуют значительных вычислительных ресурсов. Использование QUBO-решателей обеспечивает более эффективный поиск решений, позволяя быстро определить, удовлетворяет ли сеть заданным критериям устойчивости при наличии определенных возмущений входных данных. Вместо поиска в непрерывном пространстве параметров, решатели QUBO работают непосредственно с бинарными значениями, что снижает сложность вычислений и повышает скорость проверки.

При использовании данной формулировки для бинарной нейронной сети с входными данными 28×28 и бюджетом возмущений в 15 бит, полученная задача Квадратичной Неограниченной Бинарной Оптимизации (QUBO) характеризуется 113 переменными и 1273 ограничениями. Данный масштаб позволяет эффективно использовать специализированные решатели, предназначенные для задач с бинарными переменными, что упрощает процесс верификации и обеспечивает возможность анализа достаточно сложных нейронных сетей в рамках установленных ограничений по возмущениям входных данных.

Решение упрощенной задачи QUBO методом цифрового отжига позволило получить представленное возмущение.
Решение упрощенной задачи QUBO методом цифрового отжига позволило получить представленное возмущение.

Исследование ландшафта решателей

В рамках исследования были изучены различные алгоритмы оптимизации, включая Gurobi, метод имитации отжига (Simulated Annealing), машину свободной энергии (Free Energy Machine), цифровой отжиг (Digital Annealer) и квантовый отжиг (Quantum Annealer). Оценка производительности проводилась на задачах, сформулированных в виде QUBO (Quadratic Unconstrained Binary Optimization), полученных в процессе верификации устойчивости (robustness verification) нейронных сетей. Выбор данных алгоритмов обусловлен их способностью эффективно решать задачи комбинаторной оптимизации, характерные для данной области применения. Целью исследования являлось определение наиболее эффективных методов для решения задач, возникающих при проверке устойчивости моделей машинного обучения.

В ходе проведенных исследований было установлено, что специализированный процессор Fujitsu Digital Annealer продемонстрировал 168-кратное ускорение по сравнению с оптимизационным солвером Gurobi при решении задач QUBO, возникающих в процессе верификации устойчивости. Данное тестирование проводилось на сервере, оснащенном 64-ядерным процессором Intel Xeon, что позволяет оценить производительность Digital Annealer в сравнимых вычислительных условиях. Полученные результаты подтверждают значительное преимущество аппаратной реализации Digital Annealer в задачах оптимизации по сравнению с программными решениями, работающими на стандартном оборудовании.

В ходе тестирования на экземплярах BNN (Binary Neural Networks) решатели FEM (Free Energy Machine), SA (Simulated Annealing) и DA (Digital Annealer) продемонстрировали 100%-ный показатель успешности в поиске полностью удовлетворяющих ограничения решений. Это указывает на их способность эффективно находить оптимальные или близкие к оптимальным решения для задач, сформулированных в виде ограничений, характерных для верификации устойчивости нейронных сетей. Данный результат подтверждает применимость указанных решателей для задач оптимизации, связанных с проверкой корректности и надежности BNN.

Изображение демонстрирует, что небольшие возмущения, полученные с помощью предложенной QUBO-модели и Free Energy Machine (выделены красным), приводят к ошибочной классификации исходной цифры 2 как цифры 6, в то время как серые и синие блоки обозначают исходные входные данные <span class="katex-eq" data-katex-display="false"> -1-1 </span> и <span class="katex-eq" data-katex-display="false"> +1+1 </span> соответственно.
Изображение демонстрирует, что небольшие возмущения, полученные с помощью предложенной QUBO-модели и Free Energy Machine (выделены красным), приводят к ошибочной классификации исходной цифры 2 как цифры 6, в то время как серые и синие блоки обозначают исходные входные данные -1-1 и +1+1 соответственно.

Двоичные нейронные сети и эффективность оптимизации

Применение подхода, основанного на задачах квадратичной неопределённой оптимизации (QUBO), особенно эффективно в контексте двоичных нейронных сетей (BNN). Упрощённая структура BNN, использующих бинарные веса и активации, значительно снижает вычислительные затраты, необходимые для верификации и оптимизации. В отличие от традиционных нейронных сетей с плавающей точкой, BNN позволяют сформулировать задачу оптимизации в виде QUBO, что открывает возможности для использования специализированных решателей, таких как квантовые отжиговые машины или высокопроизводительные классические алгоритмы. Это сочетание упрощённой модели и эффективного метода оптимизации позволяет создавать более быстрые и энергоэффективные системы искусственного интеллекта, пригодные для применения в условиях ограниченных ресурсов.

Бинарные нейронные сети (BNN) достигают упрощения процесса оптимизации за счет использования всего двух значений для весов и активаций. Вместо традиционных чисел с плавающей точкой, BNN используют бинарные значения, представленные как +1 или -1, что значительно снижает вычислительную сложность. Реализация этого достигается посредством функций знака (Sign Functions), которые преобразуют значения в бинарный формат, и операций Argmax, определяющих наиболее вероятный выход. Такой подход не только ускоряет вычисления, но и снижает потребление памяти, делая BNN привлекательными для развертывания на устройствах с ограниченными ресурсами и в приложениях, требующих высокой эффективности. f(x) = \text{sign}(x) — типичное представление функции знака, используемой для бинаризации.

Сочетание бинарных нейронных сетей (BNN) и решателей задач квантового отжига (QUBO) открывает перспективные возможности для создания надежных и эффективных систем искусственного интеллекта. Использование BNN, с их упрощенными бинарными весами и активациями, значительно снижает вычислительные затраты и сложность оптимизации. В свою очередь, решатели QUBO, оптимизированные для решения комбинаторных задач, позволяют эффективно находить оптимальные решения в пространстве параметров BNN. Данный симбиоз позволяет преодолеть ограничения традиционных методов обучения, требующих значительных вычислительных ресурсов, и приближает возможность создания энергоэффективных и масштабируемых AI-систем, способных к решению сложных задач в различных областях, от машинного зрения до обработки естественного языка.

В статье описывается попытка формализовать проверку устойчивости бинарных нейронных сетей, сведя задачу к квадратичной булевой оптимизации. Звучит элегантно, как всегда бывает в теории. Однако, невольно вспоминается высказывание Давида Гильберта: «В математике нет признаков гения, только постоянная, упорная работа». И эта работа, судя по всему, направлена на то, чтобы заставить железо решать задачи, которые «когда-то были простым bash-скриптом». Очевидно, что кто-то надеется, что QUBO и машины Изинга смогут справиться с объёмами вычислений, которые сейчас, мягко говоря, затруднительны. Хотя, конечно, сейчас это назовут AI и получат инвестиции. Главное, чтобы документация снова не соврала о масштабируемости.

Что дальше?

Предложенная работа, безусловно, элегантна в своей постановке задачи верификации устойчивости бинарных нейронных сетей через призму QUBO. Однако, стоит помнить: каждое новое представление старой проблемы неизбежно порождает новый класс технических долгов. Перевод задачи в область оптимизации, хоть и открывает двери к использованию специализированного «квантово-вдохновлённого» железа, не решает фундаментальную проблему масштабируемости. Производство всегда найдёт способ загнать даже самую тщательно спроектированную систему в состояние, когда верификация станет непрактичной.

Очевидным направлением дальнейших исследований является поиск более эффективных аппроксимаций и эвристик для решения QUBO, возникающих при верификации сложных сетей. Но, скорее всего, истинный прорыв произойдет не в усовершенствовании алгоритмов, а в осознании того, что «устойчивость» — это иллюзия. Всегда найдется вход, который сломает систему, вопрос лишь в том, сколько ресурсов потребуется на его поиск.

В конечном итоге, предложенный подход, как и большинство «революционных» технологий, станет лишь ещё одним инструментом в арсенале инженера. Инструментом, который позволит немного отодвинуть неизбежное, но не отменить его. Всё новое — это старое, только с другим именем и теми же багами. И это — не пессимизм, а просто констатация факта.

Оригинал статьи: https://arxiv.org/pdf/2602.13536.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2026-02-17 15:00