Defending Quantum Classifiers against Adversarial Perturbations through Quantum Autoencoders

본 논문은 양자 오토인코더를 활용하여 적대적 샘플을 정제하고 정제 불가능한 입력을 식별하는 적대적 훈련이 없는 양자 분류기용 방어 프레임워크를 제안하며, 이는 적대적 공격 하에서 예측 정확도 측면에서 기존 최첨단 방법들을 크게 능가합니다.

핵심

매우 똑똑한 로봇이 손으로 쓴 숫자 (예: "7") 의 사진을 보고 그것이 정확히 무엇인지 알려줄 수 있다고 상상해 보세요. 이 로봇은 오늘날 우리가 사용하는 AI 의 초고급 버전인 양자 머신러닝 모델입니다.

하지만 인간이 마술에 속아 넘어갈 수 있듯이, 이 로봇도 속임수에 넘어갈 수 있습니다. 공격자는 사진에 아주 작고 눈에 보이지 않는 "정전기"나 "노이즈" 층을 추가할 수 있습니다. 당신의 눈에는 "7"이 여전히 "7"로 보이지만, 로봇은 갑자기 그것이 "2"라고 생각합니다. 이를 적대적 공격이라고 합니다.

이 논문의 저자들은 이 로봇이 속임수에 넘어가지 않도록 방패를 만들고자 했습니다. 그들이 어떻게 했는지 간단히 설명해 드리겠습니다:

구식 방패의 문제점

보통 로봇이 이러한 속임수를 무시하도록 가르치려면, 수천 개의 가짜로 조작된 사진을 보여주고 "이것은 여전히 7 이니 속지 마!"라고 말해야 합니다. 이를 적대적 학습이라고 합니다.

• 문제점: 때로는 이를 수행할 수 없습니다. 아마도 공격자가 어떤 종류의 속임수를 사용할지 알 수 없거나, 로봇이 특정 한 가지 속임수를 찾아내는 데 너무 능숙해져서 새로운 것들을 처리하는 방법을 잊어버릴 수 있습니다. 이는 특정 유형의 수학 시험만을 공부하다가 문제가 조금만 바뀌면 낙제하는 것과 같습니다.

새로운 해결책: "양자 오토인코더" (마술 필터)

로봇을 다시 훈련시키는 대신, 저자들은 **양자 오토인코더 (QAE)**를 구축했습니다. 이는 이미지에 적용하는 고급 사진 필터나 소음 제거 헤드폰과 같습니다.

1. 필터: 로봇이 사진을 보기 전에 QAE 가 이미지 (눈에 보이지 않는 노이즈가 있는 이미지 포함) 를 받아 "재구성"하려고 시도합니다.
2. 정제: QAE 는 깨끗하고 완벽한 사진만으로 훈련됩니다. 노이즈가 섞인 조작된 사진을 보면, QAE 는 이상한 노이즈를 제거하고 "진짜" 사진이 어떻게 생겼는지에 대한 지식을 바탕으로 이미지를 다시 만듭니다. 이는 찌든 그림을 닦아내어 그 아래에 있는 원래의 예술작품을 드러내는 복원사와 같습니다.
3. 결과: 로봇은 이렇게 정제된 버전을 봅니다. 노이즈가 사라졌기 때문에 로봇은 다시 "7"을 정확하게 식별할 수 있습니다.

"신뢰도 게이지" (문지기)

때로는 노이즈가 너무 강해서 필터가 이미지를 완벽하게 정제하지 못할 수도 있습니다. 로봇이 지저분한 사진을 보고 추측을 시도하면 여전히 틀릴 수 있습니다.

이를 해결하기 위해 저자들은 신뢰도 게이지를 추가했습니다. 이는 클럽의 엄격한 문지기처럼 작동합니다:

• 점검: 시스템은 두 가지를 확인합니다:
  1. 필터가 이미지를 얼마나 잘 정제했는가? (노이즈가 사라졌는가?)
  2. 로봇이 얼마나 확신하는가? (로봇이 이것이 "7"이라고 확신하는가, 아니면 추측하는가?)
• 결정: 만약 사진이 여전히 너무 지저분하거나 로봇이 확신이 없다면, 문지기는 "입장 불가!"라고 말하며 샘플을 거부합니다. 잘못된 추측을 하는 것이 아니라, 단순히 답변을 거부하는 것으로, 이는 거짓말을 하는 것보다 낫습니다.

그들이 발견한 것

이 팀은 유명한 이미지 데이터셋 (숫자를 위한 MNIST 와 의류를 위한 FashionMNIST) 에서 이를 테스트했습니다.

• 결과: 공격자가 로봇을 속이기 위해 강력한 속임수를 사용했을 때, 구식 방법 (표준 컴퓨터 필터 사용) 은 정확도가 거의 0 에 가까워질 정도로 처참하게 실패했습니다.
• 승리: 그들의 새로운 시스템 (QAE++) 은 로봇이 올바르게 작동하도록 유지했습니다. 어떤 경우에는 기존 최선 방법 대비 로봇의 정확도를 **68%**까지 향상시켰습니다.
• 효율성: 그들의 양자 필터는 구식 컴퓨터 필터보다 훨씬 작고 가벼워 실행에 필요한 메모리가 훨씬 적었습니다.

한 마디로 요약

이 논문은 모든 가능한 속임수에 대해 로봇을 다시 훈련시키지 않고도 양자 AI 가 속임수에 넘어가는 것을 보호하는 방법을 제안합니다. 그들은 이미지를 정제하기 위해 양자 필터를 사용하고, 너무 의심스러운 것은 거부하기 위해 신뢰도 게이지를 사용합니다. 이는 누군가 혼란을 주기 위해 눈에 보이지 않는 노이즈를 몰래 넣으려 할 때도 AI 가 정확하고 신뢰할 수 있도록 유지합니다.

기술 요약

Andrews, Sanjaya, Mishra 의 논문 "Defending Quantum Classifiers against Adversarial Perturbations through Quantum Autoencoders"에 대한 상세한 기술 요약입니다.

1. 문제 제기

변분 양자 분류기 (VQC) 는 기계 학습을 위한 강력한 도구로 부상하고 있으며, 기존 고전 모델 대비 매개변수 효율성 측면에서 잠재적 이점을 제공합니다. 그러나 고전 모델과 마찬가지로 VQC 도 적대적 공격에 취약합니다. 이러한 공격에서 공격자는 입력 데이터 (예: 이미지) 에 눈에 띄지 않도록 정교하게 조작된 노이즈 (교란) 를 주입하여 모델이 입력을 오분류하도록 만듭니다.

기존 방어 메커니즘은 주로 적대적 학습에 의존합니다. 이는 모델을 적대적 예제로 재학습시키는 방식입니다. 그러나 이 접근법에는 다음과 같은 중대한 한계가 있습니다:

• 실행 가능성: 적대적 샘플 생성 능력이 필요하며, 이는 블랙박스 시나리오나 공격 벡터가 알려지지 않은 경우 불가능할 수 있습니다.
• 과적합: 특정 공격 유형으로 학습된 모델은 다른 유형의 공격에 대해 일반화되지 못합니다.
• 자원 집약성: 양자 모델을 재학습시키는 것은 계산 비용이 매우 큽니다.

본 논문은 적대적 학습에 의존하지 않는 방어 프레임워크가 필요하며, 분류기에 도달하기 전에 적대적 샘플을 효과적으로 정제할 수 있어야 한다는 요구사항을 다룹니다.

2. 방법론: QAE++ 프레임워크

저자들은 VQC 에 입력되기 전에 입력 데이터를 재구성하고 "정제"하는 **양자 오토인코더 (QAE)**를 활용하는 **QAE++**라는 방어 프레임워크를 제안합니다. 이 프레임워크는 세 가지 주요 구성 요소로 이루어져 있습니다:

A. 재구성을 위한 양자 오토인코더 (QAE)

QAE 는 전처리 계층으로 작용합니다. 인코더와 디코더 가중치를 별도로 학습해야 하는 고전 오토인코더 (CAE) 와 달리, QAE 는 양자 게이트의 가역성을 활용합니다.

• 구조: QAE 는 $n$큐비트의 입력 상태 $|\psi_{in}\rangle$를 잠재 공간 ($k$큐비트, 여기서 $k < n$) 으로 인코딩합니다. 나머지 $n-k$개의 큐비트는 "쓰레기 큐비트 (trash qubits)"로 지정됩니다.
• 학습 목표: 인코더는 "쓰레기 큐비트"가 기준 상태 (일반적으로 $|0\rangle^{\otimes n-k}$) 와 바뀔 수 있도록 입력을 압축하도록 학습됩니다. 디코더는 단순히 인코더의 에르미트 켤레 (역) 입니다.
• 정제 메커니즘: QAE 를 클린 데이터만으로 학습함으로써, 이는 클린 데이터 분포의 매니폴드를 학습합니다. 이 매니폴드 외부의 노이즈를 포함하는 적대적 샘플이 통과될 때, QAE 는 이를 재구성하려고 시도합니다. 재구성 과정은 효과적으로 적대적 노이즈를 필터링하여 샘플을 학습된 클린 데이터 매니폴드로 다시 투영합니다.
• 최적화: 인코더는 SWAP 테스트를 사용하여 쓰레기 상태와 기준 상태 간의 충실도 (fidelity) 를 최대화하도록 학습됩니다. 손실 함수는 $L = 1 - \langle\sigma_Z\rangle$이며, 여기서 $\langle\sigma_Z\rangle$는 충실도를 나타냅니다.

B. 신뢰도 지표

더욱 강력한 견고성을 확보하기 위해, 프레임워크는 예측을 수용할지 아니면 잠재적 적대적 샘플로 거부할지 결정하기 위한 신뢰도 지표를 도입합니다. 이 지표는 두 가지 요소를 결합합니다:

1. 인코딩 충실도 ($\langle\sigma_Z\rangle_x$): QAE 가 입력을 얼마나 잘 압축했는지 측정합니다. 낮은 충실도는 입력에 학습 분포에 존재하지 않는 특징 (노이즈) 이 포함되어 있음을 시사하며, 이는 잠재적 적대적 공격을 나타냅니다.
2. 로그트 차이 ($l_{\hat{x}}$): VQC 의 출력 로그트 중 가장 높은 값과 두 번째로 높은 값 사이의 차이입니다. 작은 차이는 분류에 대한 낮은 신뢰도를 나타내며, 이는 종종 적대적 샘플의 징후입니다.

신뢰도 지표 $C$는 다음과 같이 계산됩니다:
$$C = \langle\sigma_Z\rangle_x + \frac{l_{\hat{x}}}{2}$$
이 값은 클린 검증 데이터에서 유도된 임계값 $T$와 비교됩니다. $C < T$인 경우 샘플은 거부되며, 그렇지 않으면 VQC 의 예측이 수용됩니다.

C. 알고리즘 흐름 (QAE++)

1. 입력 샘플 $x$(클린 또는 적대적) 가 QAE 로 입력됩니다.
2. QAE 는 재구성된 샘플 $\hat{x}$와 인코딩 충실도 점수를 생성합니다.
3. $\hat{x}$는 분류를 위해 VQC 로 전달되어 로그트를 생성합니다.
4. 충실도와 로그트 차이를 사용하여 신뢰도 지표 $C$가 계산됩니다.
5. $C$가 임계값을 충족하면 예측된 클래스가 반환되며, 그렇지 않으면 샘플이 거부됩니다.

3. 주요 기여

• 적대적 학습 없는 방어: 이 프레임워크는 모델을 적대적 예제로 재학습시킬 필요가 없이 VQC 를 방어하므로, 공격 생성이 불가능한 시나리오에서도 적용 가능합니다.
• 정제에서의 양자 우위: 저자들은 QAE 가 적은 수의 매개변수로 양자 잠재 공간에서 특징을 추출할 수 있는 능력 덕분에, 적대적 샘플 재구성 측면에서 고전 오토인코더 (CAE) 보다 우수한 성능을 보일 수 있음을 입증했습니다.
• 신뢰도 기반 거부: 하이브리드 신뢰도 지표 (충실도 + 로그트 차이) 의 도입으로 시스템이 고위험 샘플을 동적으로 거부할 수 있게 되어 전체 정확도가 크게 향상됩니다.
• 매개변수 효율성: QAE 모델은 최첨단 CAE 방어 (~91,000 개) 에 비해 훨씬 적은 매개변수 (예: 약 120 개) 만 필요로 하여, 보다 자원 효율적인 방어 전략을 제공합니다.

4. 실험 결과

이 프레임워크는 $\epsilon$(교란 강도) 이 0.05 에서 0.30 까지인 FGSM 및 PGD 공격 하에서 다양한 계층 깊이 (100, 200, 300 계층) 의 VQC 를 사용하여 MNIST 및 FashionMNIST(FMNIST) 데이터셋에서 평가되었습니다.

• 정확도 향상:
  • MNIST 에서 강력한 공격 ($\epsilon = 0.30$) 하에서 기준 VQC 정확도는 0% 에 가까워졌습니다.
  • 제안된 **QAE++**는 **78.06%**의 정확도를 달성하여 CAE 방어 (14.95%) 와 QAE 만의 방어 (21.82%) 를 크게 앞섰습니다.
  • 전반적으로 QAE++ 는 다양한 공격 시나리오에서 최첨단 CAE 방어 대비 **최대 68%**까지의 개선을 보였습니다.
• 거부 능력:
  • 신뢰도 지표는 적대적 샘플을 효과적으로 식별하고 거부했습니다. 예를 들어, $\epsilon=0.30$(FGSM) 에서 QAE++ 는 5,700 개 이상의 오분류된 샘플을 거부하는 동시에 494 개의 정확히 분류된 샘플을 수용했습니다.
• 혼합 샘플 성능:
  • 클린 및 적대적 입력이 혼합된 시나리오에서 QAE++ 는 VQC 계층 수가 증가함에 따라 특히 CAE 및 QAE 만의 방어보다 일관되게 우수한 성능을 발휘했습니다.
• 안정성: CAE 가 작은 모델과 낮은 공격 강도에서는 때때로 QAE 보다 우수한 성능을 보였으나, QAE++ 는 모델 복잡도와 공격 강도가 증가함에 따라 우수한 안정성과 성능을 유지했습니다.

5. 의의

이 논문은 양자 기계 학습의 견고성 toward 중요한 한 걸음을 제시합니다. 양자 오토인코더가 적대적 학습 없이 적대적 노이즈를 효과적으로 정제할 수 있음을 입증함으로써, 저자들은 잠재적으로 적대적인 환경에서 VQC 를 배포하기 위한 실용적인 해결책을 제공합니다.

그 의의는 다음과 같습니다:

1. 일반화 능력: 이 방어는 재학습 없이 알려지지 않은 공격 유형에 대해 작동합니다.
2. 효율성: 고전 방어에 비해 훨씬 적은 매개변수로 더 높은 정확도를 달성하여, 양자 우위 (적은 것으로 더 많은 일을 함) 의 목표와 부합합니다.
3. 신뢰성: 신뢰도 지표는 안전 계층을 추가하여, 시스템이 적대적 입력을 확신 있게 오분류하는 대신 "패배를 인정"(샘플 거부) 할 수 있게 합니다. 이는 안전이 중요한 응용 분야에서 매우 중요합니다.

결론적으로, QAE++ 는 양자 분류기를 방어하기 위한 새로운 기준을 수립하며, 고전적 대응책보다 우수한 견고성을 제공할 수 있는 양자 네이티브 재구성 기술이 입증되었음을 보여줍니다.