노이즈와 양방향 필터의 결합을 통한 CNN의 초선형적(Supralinear) 및 확장 가능한 적대적 강건성 달성

적대적 예시(Adversarial examples)에 대한 심층 신경망(Deep neural networks)의 취약성은 실제 환경 배포에 있어 중대한 과제를 제기합니다. 심층 네트워크의 강건성(Robustness)을 향상시키기 위한 기존 기술들은 적대적 훈련(Adversarial training)에 의존하고 있는데, 이는 강력하지만 계산 집약적이며 일반적으로 특정 공격 유형에 맞춰져 있다는 특징이 있습니다. 이러한 한계를 해결하기 위해, 기존 연구들은 가우시안 노이즈(Gaussian noise)를 추가하거나 이미지를 필터링하는 등의 기술을 탐구해 왔으며, 이 두 방법 모두 비록 미미할지라도 다양한 적대적 공격에 대한 네트워크 강건성을 높일 수 있습니다. 본 논문에서는 이러한 두 가지 접근 방식이 상호 보완적인 메커니즘을 통해 적대적 공격에 대한 강건성을 강화하며, 결합되었을 때 초선형적(Supralinear) 강건성을 결과로 나타낸다는 것을 이론적으로 입증합니다. 이러한 통찰을 바탕으로, 우리는 가우시안 노이즈와 양방향 필터링(Bilateral filtering)을 결합한 단순한 전처리기(Preprocessor)가 최소한의 계산 비용으로 적대적 강건성에서 초선형적인 향상을 가져온다는 것을 실험적으로 보여줍니다. 다음으로, 우리는 이 전처리기를 적대적 훈련과 결합하고 RobustBench에서 테스트하여 최첨단(State-of-the-art) 방어 기법 대비 초선형적인 개선 효과를 평가합니다. 첫째, 이 결합 방식은 AutoAttack에서 2위를 기록하고 전체 순위에서 3위를 차지하였으며, 최첨단 방어 기법과 비교했을 때 약 50% 적은 파라미터(Parameters)를 가진 모델을 사용하여, 약 33%의 에포크(Epochs)와 약 15%의 데이터만으로, 훈련 FLOPs의 약 35%만을 사용하였습니다. 둘째, 우리의 방법은 효율적으로 확장(Scale)되어, 3자릿수(3 orders of magnitude) 범위에 걸쳐 경쟁 모델들보다 약 2~8배 적은 총 계산량으로 유사한 정확도를 달성했습니다. 종합적으로, 우리의 접근 방식은 적대적 강건성을 향상시키기 위한 원칙적이고 쉽게 통합 가능한 프레임워크를 제공하며, 무시할 수 있는 수준의 계산 오버헤드와 단순하면서도 이론적으로 근거가 있는 설계를 제안합니다.