Core Concepts
딥 신경망 추론 시 마지막 레이어의 활성화 값(특징)에 노이즈를 추가하여 입력 데이터의 재구성을 어렵게 만들 수 있다. Hammersley-Chapman-Robbins 경계를 활용하면 이러한 노이즈 추가로 인한 프라이버시 보장 정도를 정량적으로 측정할 수 있다.
Abstract
이 논문은 딥 신경망 추론 시 입력 데이터의 프라이버시를 보장하는 방법을 제안한다.
주요 내용은 다음과 같다:
- 마지막 레이어의 활성화 값(특징)에 노이즈를 추가하여 입력 데이터의 재구성을 어렵게 만들 수 있다.
- Hammersley-Chapman-Robbins(HCR) 경계를 활용하면 이러한 노이즈 추가로 인한 프라이버시 보장 정도를 정량적으로 측정할 수 있다.
- HCR 경계는 모든 가능한 추정량의 분산을 하한 제한하여 프라이버시를 보장한다.
- MNIST, CIFAR-10, ImageNet-1000 데이터셋과 ResNet, Swin Transformer 등의 표준 신경망 모델을 대상으로 실험을 수행했다.
- MNIST와 CIFAR-10에서는 HCR 경계가 어느 정도 효과적이었지만, ImageNet-1000에서는 충분하지 않은 것으로 나타났다.
- 따라서 HCR 경계 활용 외에 추가적인 방법이 필요할 것으로 보인다.
Stats
특징(활성화 값) 벡터의 차원은 MNIST 784, CIFAR-10 3072, ImageNet-1000 24843 또는 37632이다.
MNIST 분류 정확도는 노이즈 미적용 시 97.9%, 적용 시 95.1%이다.
CIFAR-10 분류 정확도는 노이즈 미적용 시 70%, 적용 시 50%이다.
ImageNet-1000 분류 정확도는 ResNet-18 노이즈 미적용 시 57%, 적용 시 54%이며, Swin-T 노이즈 미적용 시 64%, 적용 시 54%이다.