시공간 신경망을 위한 하이브리드 강건성 검증 (Hybrid Robustness Verification for Spatio-Temporal

AI가 안전이 중요한 시스템(safety-critical systems)에 점점 더 많이 배치됨에 따라, 기반 모델에 대한 공식적인 강건성 보장(formal robustness guarantees)을 제공하는 것이 필수적입니다. 기존의 검증 방법들은 지나치게 보수적인 근사치(approximations)에 의존하거나 과도한 계산 비용을 초래합니다. 예를 들어, 비디오 환경에서 lp-norm 섭동(perturbations)을 사용하는 것은 공격자가 모든 비디오 프레임에 노이즈를 주입할 수 있다는 믿음을 내포합니다. 실제로 적대적 섭동(adversarial perturbations)은 저차원의 의미 있는 부분 공간(subspaces)으로 제한되는 구조화된 공간적 및 시간적 상관관계(spatial and temporal correlations)를 나타냅니다.

본 연구에서는 비디오 및 볼륨 입력을 처리하는 3D CNN의 강건성 검증을 연구하며, 공격자가 프레임의 일부 집합 또는 연속된 프레임 세트 내의 패치(patches)를 수정할 수 있는 시공간적 제약(spatio-temporal constraints)으로 모델링하여 적대적 강도에 대한 현실적인 가정을 활용합니다. 이는 행동 인식(UCF-101), 자율 주행(Udacity), 의료 영상(MedMNIST) 응용 분야를 목표로 합니다. 우리는 현실적인 제약을 모델링함으로써 더 타이트한 근사치(tighter approximations)를 얻을 수 있음을 입증합니다.

우리는 첫 번째 합성곱 계층(convolutional layer)의 정확한 폐형식 특성(closed-form characterization)을 계산하고, 확장 가능한 근사치(scalable approximations)를 사용하여 후속 계층을 통해 인증된 경계(certified bounds)를 전파하는 검증 프레임워크인 시공간 경계 전파(Spatio-Temporal Bound Propagation, STBP)를 소개합니다. 정확한 폐형식을 계산하면 첫 번째 합성곱 계층에 대해 가장 타이트한 경계(tightest bounds)를 제공합니다. 따라서 네트워크의 나머지 부분에서는 근사법을 활용합니다. 이 분야의 추가적인 발전을 촉진하기 위해, 우리는 검증 가능한 강건성을 체계적으로 평가하기 위한 자율 주행 및 활동 인식용 검증 벤치마크인 ST-Bench를 제안합니다. 기존의 검증 기반 접근 방식과 비교하여, STBP는 동일한 섭동 예산(perturbation budgets) 하에서 1.7배 더 높은 인증된 강건 정확도(certified robust accuracy)를 달성하며, 현저히 향상된 확장성(scalability)과 함께 더 강력한 강건성 보장을 제공합니다.