核心概念
양자화는 신경망의 결정 경계로부터의 평균 거리를 증가시키고 일부 공격의 추정 기울기를 폭발 또는 소실시킨다. 또한 양자화는 노이즈 감쇠 또는 증폭 효과를 가지며 기울기 불일치를 야기한다. 입력 전처리 방어는 작은 교란에 대해 인상적인 결과를 보이지만 교란이 증가할수록 효과가 감소한다. 반면 훈련 기반 방어는 양자화 후에도 결정 경계로부터의 평균 거리를 증가시키지만, 양자화 이동 및 기울기 불일치 현상을 완화해야 한다.
要約
이 연구는 TinyML 애플리케이션을 대상으로 하는 3개의 양자화된 신경망(QNN)에 대한 10개의 공격과 6개의 방어 메커니즘의 효과를 실증적으로 평가한다.
첫째, 양자화는 신경망의 결정 경계로부터의 평균 거리를 증가시키고 일부 공격의 추정 기울기를 폭발 또는 소실시킨다. 이는 양자화로 인해 손실 함수 표면이 최적화하기 어려워지기 때문이다.
둘째, 양자화는 노이즈 감쇠 또는 증폭 효과를 가지며 기울기 불일치를 야기한다. 이로 인해 전체 정밀도 신경망에서 생성된 적대적 예제가 QNN에 잘 전이되지 않는다.
셋째, 입력 전처리 방어는 작은 교란에 대해 인상적인 결과를 보이지만 교란이 증가할수록 효과가 감소한다. 반면 훈련 기반 방어는 양자화 후에도 결정 경계로부터의 평균 거리를 증가시키지만, 양자화 이동 및 기울기 불일치 현상을 완화해야 한다.
統計
양자화는 결정 경계로부터의 평균 거리를 증가시켜 int-8 모델이 int-16 및 float-32 모델보다 일반적으로 적대적 예제에 더 강건하다.
양자화는 추정 기울기의 폭발 또는 소실 가능성을 증가시킨다. 평균 기울기 0 밀도는 float-32, int-16, int-8 모델에서 각각 70.20%, 72.68%, 88.18%로 증가한다.
양자화는 노이즈 감쇠 또는 증폭 효과를 가지며 기울기 불일치를 야기한다. 이로 인해 전체 정밀도 신경망에서 생성된 적대적 예제가 QNN에 잘 전이되지 않는다.
引用
"양자화는 신경망의 결정 경계로부터의 평균 거리를 증가시키고 일부 공격의 추정 기울기를 폭발 또는 소실시킨다."
"양자화는 노이즈 감쇠 또는 증폭 효과를 가지며 기울기 불일치를 야기한다."
"입력 전처리 방어는 작은 교란에 대해 인상적인 결과를 보이지만 교란이 증가할수록 효과가 감소한다."
"훈련 기반 방어는 양자화 후에도 결정 경계로부터의 평균 거리를 증가시키지만, 양자화 이동 및 기울기 불일치 현상을 완화해야 한다."