Published August 8, 2023 | Version v1
Publication Open

Guiding the retraining of convolutional neural networks against adversarial inputs

Creators

  • 1. Universitat Politècnica de Catalunya
  • 2. Universidad Nacional Autónoma de México
  • 3. German Aerospace Center
  • 4. University of Cologne

Description

When using deep learning models, one of the most critical vulnerabilities is their exposure to adversarial inputs, which can cause wrong decisions (e.g., incorrect classification of an image) with minor perturbations. To address this vulnerability, it becomes necessary to retrain the affected model against adversarial inputs as part of the software testing process. In order to make this process energy efficient, data scientists need support on which are the best guidance metrics for reducing the adversarial inputs to create and use during testing, as well as optimal dataset configurations.We examined six guidance metrics for retraining deep learning models, specifically with convolutional neural network architecture, and three retraining configurations. Our goal is to improve the convolutional neural networks against the attack of adversarial inputs with regard to the accuracy, resource utilization and execution time from the point of view of a data scientist in the context of image classification.We conducted an empirical study using five datasets for image classification. We explore: (a) the accuracy, resource utilization, and execution time of retraining convolutional neural networks with the guidance of six different guidance metrics (neuron coverage, likelihood-based surprise adequacy, distance-based surprise adequacy, DeepGini, softmax entropy and random), (b) the accuracy and resource utilization of retraining convolutional neural networks with three different configurations (one-step adversarial retraining, adversarial retraining and adversarial fine-tuning).We reveal that adversarial retraining from original model weights, and by ordering with uncertainty metrics, gives the best model w.r.t. accuracy, resource utilization, and execution time.Although more studies are necessary, we recommend data scientists use the above configuration and metrics to deal with the vulnerability to adversarial inputs of deep learning models, as they can improve their models against adversarial inputs without using many inputs and without creating numerous adversarial inputs. We also show that dataset size has an important impact on the results.

⚠️ This is an automatic machine translation with an accuracy of 90-95%

Translated Description (Arabic)

عند استخدام نماذج التعلم العميق، فإن إحدى نقاط الضعف الأكثر أهمية هي تعرضها لمدخلات الخصومة، والتي يمكن أن تسبب قرارات خاطئة (على سبيل المثال، تصنيف غير صحيح للصورة) مع اضطرابات طفيفة. لمعالجة هذه الثغرة الأمنية، يصبح من الضروري إعادة تدريب النموذج المتأثر ضد المدخلات العدائية كجزء من عملية اختبار البرامج. من أجل جعل هذه العملية فعالة من حيث الطاقة، يحتاج علماء البيانات إلى دعم أفضل مقاييس إرشادية لتقليل المدخلات العدائية لإنشاءها واستخدامها أثناء الاختبار، بالإضافة إلى تكوينات مجموعة البيانات المثلى. لقد فحصنا ستة مقاييس إرشادية لإعادة تدريب نماذج التعلم العميق، وتحديدًا مع بنية الشبكة العصبية الالتفافية، وثلاثة تكوينات لإعادة التدريب. هدفنا هو تحسين الشبكات العصبية الالتفافية ضد هجوم المدخلات العدائية فيما يتعلق بالدقة واستخدام الموارد ووقت التنفيذ من وجهة نظر عالم البيانات في سياق تصنيف الصور. لقد أجرينا دراسة تجريبية باستخدام خمس مجموعات بيانات لتصنيف الصور. نستكشف: (أ) دقة واستخدام الموارد ووقت تنفيذ إعادة تدريب الشبكات العصبية الالتفافية مع توجيه ستة مقاييس إرشادية مختلفة (تغطية الخلايا العصبية، وكفاية المفاجأة القائمة على الاحتمال، وكفاية المفاجأة القائمة على المسافة، و DeepGini، و softmax entropy و random)، (ب) دقة واستخدام الموارد لإعادة تدريب الشبكات العصبية الالتفافية مع ثلاثة تكوينات مختلفة (إعادة تدريب الخصومة من خطوة واحدة، وإعادة تدريب الخصومة، وضبط الخصومة). نكشف أن إعادة تدريب الخصومة من أوزان النموذج الأصلي، ومن خلال الطلب باستخدام مقاييس عدم اليقين، يعطي أفضل دقة للنموذج، واستخدام الموارد، ووقت التنفيذ. على الرغم من ضرورة إجراء المزيد من الدراسات، نوصي علماء البيانات باستخدام التكوين والمقاييس المذكورة أعلاه للتعامل مع الضعف أمام المدخلات العدائية لنماذج التعلم العميق، حيث يمكنهم تحسين نماذجهم ضد المدخلات العدائية دون استخدام العديد من المدخلات ودون إنشاء العديد من المدخلات العدائية. نوضح أيضًا أن حجم مجموعة البيانات له تأثير مهم على النتائج.

Translated Description (French)

Lors de l'utilisation de modèles d'apprentissage profond, l'une des vulnérabilités les plus critiques est leur exposition à des intrants contradictoires, ce qui peut entraîner de mauvaises décisions (par exemple, une classification incorrecte d'une image) avec des perturbations mineures. Pour remédier à cette vulnérabilité, il devient nécessaire de recycler le modèle affecté contre les intrants contradictoires dans le cadre du processus de test logiciel. Afin de rendre ce processus économe en énergie, les scientifiques des données ont besoin de soutien sur les meilleures mesures de guidage pour réduire les entrées contradictoires à créer et à utiliser pendant les tests, ainsi que sur les configurations optimales des ensembles de données. Nous avons examiné six mesures de guidage pour le recyclage des modèles d'apprentissage profond, en particulier avec l'architecture de réseau neuronal convolutionnel, et trois configurations de recyclage. Notre objectif est d'améliorer les réseaux de neurones convolutionnels contre l'attaque des intrants antagonistes en ce qui concerne la précision, l'utilisation des ressources et le temps d'exécution du point de vue d'un data scientist dans le contexte de la classification des images. Nous avons mené une étude empirique en utilisant cinq ensembles de données pour la classification des images. Nous explorons : (a) la précision, l'utilisation des ressources et le temps d'exécution de la reconversion des réseaux neuronaux convolutifs à l'aide de six mesures de guidage différentes (couverture neuronale, adéquation de la surprise basée sur la probabilité, adéquation de la surprise basée sur la distance, DeepGini, entropie softmax et aléatoire), (b) la précision et l'utilisation des ressources de la reconversion des réseaux neuronaux convolutifs avec trois configurations différentes (reconversion contradictoire en une seule étape, reconversion contradictoire et réglage fin contradictoire). Nous révélons que la reconversion contradictoire à partir des poids du modèle d'origine, et en ordonnant avec des mesures d'incertitude, donne le meilleur modèle possible. précision, utilisation des ressources et temps d'exécution. Bien que d'autres études soient nécessaires, nous recommandons aux scientifiques des données d'utiliser la configuration et les mesures ci-dessus pour faire face à la vulnérabilité aux intrants contradictoires des modèles d'apprentissage profond, car ils peuvent améliorer leurs modèles par rapport aux intrants contradictoires sans utiliser beaucoup d'intrants et sans créer de nombreux intrants contradictoires. Nous montrons également que la taille de l'ensemble de données a un impact important sur les résultats.

Translated Description (Spanish)

Cuando se utilizan modelos de aprendizaje profundo, una de las vulnerabilidades más críticas es su exposición a entradas adversas, que pueden causar decisiones incorrectas (por ejemplo, clasificación incorrecta de una imagen) con perturbaciones menores. Para abordar esta vulnerabilidad, se hace necesario volver a entrenar el modelo afectado contra las entradas adversarias como parte del proceso de prueba de software. Para que este proceso sea eficiente desde el punto de vista energético, los científicos de datos necesitan apoyo sobre cuáles son las mejores métricas de orientación para reducir las entradas adversarias que se deben crear y usar durante las pruebas, así como las configuraciones óptimas de los conjuntos de datos. Examinamos seis métricas de orientación para el reciclaje de modelos de aprendizaje profundo, específicamente con arquitectura de red neuronal convolucional, y tres configuraciones de reciclaje. Nuestro objetivo es mejorar las redes neuronales convolucionales contra el ataque de entradas adversarias con respecto a la precisión, la utilización de recursos y el tiempo de ejecución desde el punto de vista de un científico de datos en el contexto de la clasificación de imágenes. Realizamos un estudio empírico utilizando cinco conjuntos de datos para la clasificación de imágenes. Exploramos: (a) la precisión, la utilización de recursos y el tiempo de ejecución del reentrenamiento de redes neuronales convolucionales con la guía de seis métricas de guía diferentes (cobertura neuronal, adecuación sorpresiva basada en la probabilidad, adecuación sorpresiva basada en la distancia, DeepGini, entropía suave y aleatoria), (b) la precisión y la utilización de recursos del reentrenamiento de redes neuronales convolucionales con tres configuraciones diferentes (reentrenamiento adversarial de un solo paso, reentrenamiento adversarial y ajuste fino adversarial). Revelamos que el reentrenamiento adversarial a partir de los pesos del modelo original, y al ordenar con métricas de incertidumbre, da el mejor modelo con precisión, utilización de recursos y tiempo de ejecución. Aunque son necesarios más estudios, recomendamos que los científicos de datos utilicen la configuración y las métricas anteriores para lidiar con la vulnerabilidad a los insumos adversarios de los modelos de aprendizaje profundo, ya que pueden mejorar sus modelos contra los insumos adversarios sin usar muchos insumos y sin crear numerosos insumos adversarios. También mostramos que el tamaño del conjunto de datos tiene un impacto importante en los resultados.

Files

2207.03689.pdf

Files (1.4 MB)

⚠️ Please wait a few minutes before your translated files are ready ⚠️ Note: Some files might be protected thus translations might not work.
Name Size Download all
md5:f0a3cc3367258ed2e92c0fd742bb64ba
1.4 MB
Preview Download

Additional details

Additional titles

Translated title (Arabic)
توجيه إعادة تدريب الشبكات العصبية الالتفافية ضد المدخلات العدائية
Translated title (French)
Guider le recyclage des réseaux neuronaux convolutionnels contre les intrants antagonistes
Translated title (Spanish)
Guiar el reentrenamiento de las redes neuronales convolucionales contra las entradas adversarias

Identifiers

Other
https://openalex.org/W4385660112
DOI
10.7717/peerj-cs.1454

Is supplement to
https://openalex.org/W4287591324 (Other)
https://openalex.org/W4226420367 (Other)
https://openalex.org/W3108503355 (Other)
https://openalex.org/W3107204728 (Other)
https://openalex.org/W3090555870 (Other)
https://openalex.org/W2980176872 (Other)
https://openalex.org/W2962876041 (Other)
https://openalex.org/W2899027234 (Other)
https://openalex.org/W2801655600 (Other)
https://openalex.org/W2249953602 (Other)

GreSIS Basics Section

Is Global South Knowledge
Yes
Country
Mexico

References

  • https://openalex.org/W1488494778
  • https://openalex.org/W1995875735
  • https://openalex.org/W2041713059
  • https://openalex.org/W2067713319
  • https://openalex.org/W2112796928
  • https://openalex.org/W2147800946
  • https://openalex.org/W2163605009
  • https://openalex.org/W2243397390
  • https://openalex.org/W2616028256
  • https://openalex.org/W2750384547
  • https://openalex.org/W2766191760
  • https://openalex.org/W2810611310
  • https://openalex.org/W2888307014
  • https://openalex.org/W2898868990
  • https://openalex.org/W2922234936
  • https://openalex.org/W2954629067
  • https://openalex.org/W2954855426
  • https://openalex.org/W2963327228
  • https://openalex.org/W2963542245
  • https://openalex.org/W2964059111
  • https://openalex.org/W2979664468
  • https://openalex.org/W2994987245
  • https://openalex.org/W2996355630
  • https://openalex.org/W2997532515
  • https://openalex.org/W3011711787
  • https://openalex.org/W3030364939
  • https://openalex.org/W3035584216
  • https://openalex.org/W3036286896
  • https://openalex.org/W3042703469
  • https://openalex.org/W3090423701
  • https://openalex.org/W3099444373
  • https://openalex.org/W3100321043
  • https://openalex.org/W3105662466
  • https://openalex.org/W3106678246
  • https://openalex.org/W3107983239
  • https://openalex.org/W3111523098
  • https://openalex.org/W3118168379
  • https://openalex.org/W3120991880
  • https://openalex.org/W3121083082
  • https://openalex.org/W3161493619
  • https://openalex.org/W3163337304
  • https://openalex.org/W3165066932
  • https://openalex.org/W3175236806
  • https://openalex.org/W3197049923
  • https://openalex.org/W3214897310
  • https://openalex.org/W3216686652
  • https://openalex.org/W4200630710
  • https://openalex.org/W4220891756
  • https://openalex.org/W4285579917
  • https://openalex.org/W4286957040
  • https://openalex.org/W4287272378
  • https://openalex.org/W4287274254
  • https://openalex.org/W4287637349
  • https://openalex.org/W4293580221
  • https://openalex.org/W4293584023
  • https://openalex.org/W4297814571
  • https://openalex.org/W4300954432
  • https://openalex.org/W4301726735
  • https://openalex.org/W4306780108
  • https://openalex.org/W4312269593
  • https://openalex.org/W4312663823
  • https://openalex.org/W4362508322
  • https://openalex.org/W4387390388
  • https://openalex.org/W4394663350