Securing the Spike: On the Transferability and Security of Spiking Neural Networks to Adversarial Examples

Nuo Xu; Kaleel Mahmood; Haowen Fang; Ethan Rathbun; Caiwen Ding; Wujie Wen

スパイクを確保する: 敵対的な例へのスパイキングニューラルネットワークの転送可能性とセキュリティについて

スパイキングニューラルネットワーク (SNN) は、その高いエネルギー効率と分類性能の最近の進歩により、多くの注目を集めています。ただし、従来の深層学習アプローチとは異なり、敵対的な例に対する SNN の堅牢性の分析と研究は、比較的未開発のままです。この作業では、SNN の敵対的攻撃側の進歩に焦点を当て、3 つの主要な貢献を行います。まず、SNN に対するホワイトボックスの敵対的攻撃の成功は、基礎となる代理勾配手法に大きく依存していることを示します。次に、最適な代理勾配法を使用して、SNN や、ビジョントランスフォーマー (ViT) やビッグトランスファー畳み込みニューラルネットワーク (CNN) などのその他の最先端のアーキテクチャに対する敵対的攻撃の転送可能性を分析します。ビジョントランスフォーマーや特定のタイプの CNN によって生成された敵対的な例によって、SNN がしばしばだまされないことを示します。第 3 に、SNN と CNN/ViT の両方のドメインで有効なユビキタスなホワイトボックス攻撃がないため、新しいホワイトボックス攻撃である Auto Self-Attention Gradient Attack (Auto SAGA) を開発しました。私たちの新しい攻撃は、SNN モデルと非 SNN モデルの両方を同時にだますことができる敵対的な例を生成します。 Auto SAGA は、PGD のような従来のホワイトボックス攻撃よりも、SNN/ViT モデルアンサンブルで 87.9% も効果的です。私たちの実験と分析は、3 つのデータセット (CIFAR-10、CIFAR-100、および ImageNet)、5 つの異なるホワイトボックス攻撃、および 19 の異なる分類子モデル (各 CIFAR データセットに対して 7 つ、ImageNet に対して 5 つの異なるモデル) をカバーする広範かつ厳密なものです。

Spiking neural networks (SNNs) have attracted much attention for their high energy efficiency and for recent advances in their classification performance. However, unlike traditional deep learning approaches, the analysis and study of the robustness of SNNs to adversarial examples remain relatively underdeveloped. In this work we focus on advancing the adversarial attack side of SNNs and make three major contributions. First, we show that successful white-box adversarial attacks on SNNs are highly dependent on the underlying surrogate gradient technique. Second, using the best surrogate gradient technique, we analyze the transferability of adversarial attacks on SNNs and other state-of-the-art architectures like Vision Transformers (ViTs) and Big Transfer Convolutional Neural Networks (CNNs). We demonstrate that SNNs are not often deceived by adversarial examples generated by Vision Transformers and certain types of CNNs. Third, due to the lack of an ubiquitous white-box attack that is effective across both the SNN and CNN/ViT domains, we develop a new white-box attack, the Auto Self-Attention Gradient Attack (Auto SAGA). Our novel attack generates adversarial examples capable of fooling both SNN models and non-SNN models simultaneously. Auto SAGA is as much as 87.9% more effective on SNN/ViT model ensembles than conventional white-box attacks like PGD. Our experiments and analyses are broad and rigorous covering three datasets (CIFAR-10, CIFAR-100 and ImageNet), five different white-box attacks and nineteen different classifier models (seven for each CIFAR dataset and five different models for ImageNet).

updated: Mon Dec 12 2022 19:35:01 GMT+0000 (UTC)

published: Wed Sep 07 2022 17:05:48 GMT+0000 (UTC)

arXiv

参考文献 (このサイトで利用可能なもの) / References (only if available on this site)

被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)

Amazon.co.jpアソシエイト