데이터 없이 블랙박스 모델을 적대적 공격으로부터 방어하는 방법

데이터 없이 블랙박스 모델을 적대적 공격으로부터 방어하기 위해 웨이블릿 기반의 노이즈 제거기와 재생성 네트워크를 제안한다.

이 논문은 데이터 없이 블랙박스 모델을 적대적 공격으로부터 방어하는 방법을 제안한다. 모델 도용 기술을 사용하여 대리 모델 Sm과 합성 데이터 Sd를 생성한다. 웨이블릿 계수 선택 모듈(WCSM)을 통해 적대적 공격에 가장 취약한 고주파 계수를 선별하고, 웨이블릿 노이즈 제거기(WNR)를 통해 이를 제거한다. 재생성 네트워크(Rn)를 통해 WNR에 의해 손실된 고주파 정보를 복원한다. Rn은 대리 모델 Sm의 특징을 모방하도록 학습된다. 최종적으로 WNR과 Rn을 블랙박스 모델 Bm 앞에 배치하여 적대적 공격에 대한 강건성을 높인다. 실험 결과, 제안 방법은 CIFAR-10 데이터셋에서 기존 방법 대비 38.98%와 32.01% 더 높은 적대적 정확도를 달성했다.

깨끗한 데이터와 대응되는 적대적 데이터의 웨이블릿 분해 결과를 비교하면, 저주파 계수(LL)는 가장 영향을 적게 받는다. 깨끗한 데이터의 웨이블릿 계수 절대값 평균을 보면, 저주파 계수(LL)가 가장 크다.

"데이터 없이 블랙박스 모델을 적대적 공격으로부터 방어하는 것은 중요하지만 크게 연구되지 않은 문제이다." "우리는 웨이블릿 변환을 활용하여 적대적 공격에 가장 취약한 고주파 계수를 선별하고 제거하는 방법을 제안한다." "적대적 공격에 의해 크게 훼손된 고주파 계수를 제거하면 전체 식별력이 저하되므로, 재생성 네트워크를 통해 이를 복원한다."