희소(Sparse), 연속(Continuous), 구조화된(Structured) 파라미터 공격에 대한 일반화된 방어 체계 연구

심층 신경망(Deep neural networks)은 클라우드 스토리지, CI/CD 파이프라인, 컨테이너화된 서비스, 엣지 실행 플랫폼(edge execution platforms)을 통해 모델이 배포되는 이기종의 부분적으로 신뢰할 수 없는 환경 전반에 걸쳐 점점 더 많이 배치되고 있습니다. 이러한 광범위한 배포 환경은 모델 파라미터(model parameters)를 다양한 무결성 위험에 노출시킵니다. 입력 공간 적대적 공격(input-space adversarial attacks)과 달리, 파라미터 공격(parameter attacks)은 모델의 내부 파라미터를 직접 조작하며 이후의 모든 추론(inference) 과정에 지속적으로 영향을 미칩니다. 기존의 방어 기법들은 재학습(retraining)을 요구하거나, 상당한 정확도 저하를 초래하거나, 혹은 특정 공격 유형에만 국한되는 한계가 있습니다. 그러나 실제 배포 시나리오에서 파라미터 공격의 형태는 종종 예측 불가능합니다. 이러한 과제를 해결하기 위해, 우리는 다양한 유형의 파라미터 공격에 대응하는 심층 신경망을 위한 일반화된 방어 체계인 ParDef를 제안합니다. ParDef는 민감한 파라미터 방향을 모호하게 만드는 키 기반 채널 재매개변수화(keyed channel reparameterization), 중복성을 삽입하고 오류 정정(error correction)을 지원하는 QC-LDPC 양자화(quantization), 그리고 불확실성 하에서 예측을 안정화하는 적응형 강건 추론(adaptive robust inference)을 통합합니다. ResNet 및 VGG 모델을 사용하여 CIFAR-10, CIFAR-100, Tiny-ImageNet에 대해 수행한 평가 결과, ParDef는 높은 모델 성능을 유지하면서도 다양한 파라미터 공격에 대해 공격 성공률을 일관되게 낮추는 동시에 적절한 수준의 배포 오버헤드(deployment overhead)만을 발생시킨다는 것을 입증했습니다. 이러한 결과는 ParDef가 DNN 배포를 위한 실용적이고 일반화된 방어 체계임을 강조합니다.