If you want to read this article in English click here.

Ein Ansatz zur formalen Verifikation von neuronalen Netzen im Detail

In dem ersten Teil dieses Blogs haben wir die folgende Aufgabe ausführlich beschrieben: „Wie lassen sich menschlich verständliche Sicherheitskriterien für neuronale Netze in ein korrektes und vollständiges mathematisches Problem übersetzen, das beweisbar ist?“. Dafür werden wir weiterhin ein neuronales Netz zur Erkennung von Verkehrszeichen referenzieren, welches mit unterschiedlichen Beleuchtungssituationen zurechtkommen muss.

Welches Verhalten genau abgesichert wird

Die verschiedenen Beleuchtungssituationen werden in unserem Beispiel durch photometrische Transformationen modelliert. Somit wird die Robustheit des neuronalen Netzes gegenüber ebendiesen photometrischen Transformationen geprüft. Solche Transformationen sind z.B. die Änderung von Helligkeit oder Kontrast.
In diesem Beispiel beschränken wir uns auf die Verringerung des Kontrastes um bis zu 50% des ursprünglichen Wertes. Betrachten wir ein potenzielles Eingangsbild für ein neuronales Netz $x$ mit den Farbkanälen $c_{in}$ , der Höhe $h_{in}$ und der Breite $w_{in}$ , so wird die folgende Formel verwendet:
$\,\,\,\,\,\,\,\,{x}'_{c,h,w}=\alpha\cdot x_{c,h,w}\,\,\,\,\alpha \in [0.5,1],$
wobei der Faktor $\alpha$ die Verringerung des Kontrastes beschreibt.

Für mehr Hintergrundinformationen zu dem Thema „photometrische Transformationen“ bietet die Dokumentation von OpenCV eine gute Übersicht: https://docs.opencv.org/3.4/d3/dc1/tutorial_basic_linear_transform.html

Damit haben wir den Punkt erreicht, an dem die Übersetzung unserer Aufgabe in die Form einer Mixed-integer linear programming (MILP) Kodierung beginnt.

Die betrachtete Transformation wird auf jeden Pixel in jedem Farbkanal des Originalbildes gleich angewandt. Es ergeben sich somit die ersten $c_{in}\cdot h_{in}\cdot w_{in}$ Constraints:
$\; \; \; \;constr\left ( c,h,w \right ):\, {x}'_{c,h,w}=\alpha \cdot x_{c,h,w}\\ \; \;\; \; c=0, …, c_{in}-1\; \:\; \; h=0, …, h_{in}-1\; \; \; \;w=0, …,w_{in}-1$
Und die erste Boundary für eine Variable:
$\; \; \; \;boundary(1):\; 0.5\leq \alpha \leq 1$

Die Variablen stehen dabei für:

$c_{in},\,h_{in},\,w_{in}$ Anzahl der Farbkanäle, Höhe und Breite des Bildes
$x$ Originalbild
${x}'\,$ transformiertes Bild

Wenn das neuronale Netz z.B. RGB-Bilder mit einer Auflösung von 640 $\cdot$ 480 Pixel verarbeiten soll, dann ergeben sich somit bereits 921601 (Un-)Gleichungen!

Die Kodierung des neuronalen Netzes als MILP

An dieser Stelle möchten wir in einer (verhältnismäßig) knappen Form die MILP-Kodierung der gängigsten Layer neuronaler Netze vorstellen. Die Layer selbst werden konzeptionell nicht erklärt und als Hintergrundwissen vorausgesetzt. Eine gute Referenz für die Notationen, die in diesem Blog verwendet werden, bietet die Dokumentation von pytorch: https://pytorch.org/docs/stable/nn.html

Fully–Connected Layer

Da Fully-Connected Layer lediglich gewichtete Summen darstellen, können diese ohne Weiteres als lineare Gleichungen dargestellt werden. Dabei wird für jedes (Ausgangs-)Neuron in dem Layer ein Constraint benötigt:
$constr(n):\, {x}'_{n}=b_{n}+\sum_{i=0}^{n_{in}-1}a_{n,i}\cdot x_{i}\: \:\: \: \:\: n=0, …, n_{out}-1$

Die Variablen stehen dabei für:

$n_{in}$ Anzahl der Eingangswerte / Neuronen im vorherigen Layer
$n_{out}$ Anzahl der Ausgangswerte / Neuronen im aktuellen Layer
$x$ Vektor mit $n_{in}$ Eingangswerten
${x}'\,$ Vektor mit $n_{out}$ Ausgangswerten
$b_{n}$ Bias der gewichteten Summe für das n-te Neuron des aktuellen Layers
$\alpha_{n}$ Vektor mit Faktoren der gewichteten Summe für das n-te Neuron des aktuellen Layers

Convolutional Layer

Konzeptionell sind Convolutional Layer den Fully-Connected Layern sehr ähnlich, da beide gewichtete Summen darstellen. Um die Darstellung übersichtlich zu halten, werden Padding, Stride und Dilation in den Formeln und Constraints in dieser Erklärung vernachlässigt:
$constr(c,h,w):\; {x}'_{c,h,w}=b_{c}+\sum_{i=0}^{c_{k}-1}\sum_{j=0}^{h_{k}-1}\sum_{l=0}^{w_{k}-1}\alpha_{i,j,l}\cdot x_{c+i,h+j,w+l}\\ c=0, …,c_{out}-1\;\; \: h=0, …,h_{out}-1\; \;\;\; \; w=0, …,w_{out}-1$

Die Variablen stehen dabei für:

$c_{out}\,, h_{out}\,, w_{out}$ Anzahl der Channel, Höhe und Bereite des Ausgangstensors $x'\,$ (wie diese genau
in Abhängigkeit von der Größe des Kernels, Stride, Padding und Dilation berechnet
werden können, kann ebenfalls der pytorch Dokumentation entnommen werden:
https://pytorch.org/docs/stable/generated/torch.nn.Conv2d.html)
$c_{in}$ Anzahl der Channel des Eingangstensors $x$
$\alpha$ 3-dimensionaler Tensor mit Gewichtsfaktoren (Kernel)
$b_{c}$ Bias der gewichteten Summe für den Channel mit Index $c_{k}\,, h_{k}\,, w_{k}$ Anzahl
der Channel (gleich der Anzahl der Channel des Eingangstensors $x$ ),
Höhe und Breite des Kernels $\alpha$
$x$ 3-dimensionaler Eingangstensor (z.B. Bild)
${x}'\,$ 3-dimensionaler Ausgangstensor

ReLU-Aktivierung

ReLU-Aktivierungen sind wie folgt definiert:

ReLU\left ( x \right )=y=max(0,x)=\left\{\begin{matrix} x & if\, x> 0\\ 0 & if\, x\leq 0 \end{matrix}\right.

Da ReLU-Aktivierungen nur teilweise linear sind, werden für die MILP-Kodierung hier Hilfsmittel benötigt. Diese benötigten Hilfsmittel sind zwei Variablen: Eine binäre „Entscheidungsvariable“ $d$ ∈ {0,1} und eine Hilfsvariable $M$ , die nur einen ausreichend großen Wert haben muss. „Ausreichend groß“ heißt in diesem Fall, dass sie größer als die möglichen Eingangswerte $x$ sein muss.

Hilfsvariable M

Die Hilfsvariable

M

stellt eine Begrenzung der möglichen Eingangswerte

x

dar. Dies erscheint im ersten Moment ein Nachteil der Kodierung der ReLU-Funktion zu sein, jedoch kann innerhalb neuronaler Netze, mit definierten Bereichen je Eingangswert für den Aktivierungswert jedes Neurons ein Maximum berechnet werden. Basierend darauf lässt sich der Wert für

M

einfach festlegen. Wenn zum Beispiel der maximale Betrag aller Aktivierung der Neuronen eines neuronalen Netzes 9 ist, so wäre der Wert 10 für

M

ausreichend groß.

Für die Erklärung der Kodierung betrachten wir zunächst die fertigen Constraints der ReLU-Aktivierung für einen einzelnen Wert und erklären diese daraufhin:

\,\,\,\,constr(0):\,\,\,\,\,\,\,\,y\geq 0\\ \,\,\,\,constr(1):\,\,\,\,\,\,\,\,y\geq x\\ \,\,\,\,constr(2):\,\,\,\,\,\,\,\,y\leq d\cdot M\\ \,\,\,\,constr(3):\,\,\,\,\,\,\,\,y\leq x+(1-d)\cdot M\\ \,\,\,\,boundary(0):d \in \left \{ 0,1 \right \}\\ \,\,\,\,boundary(1): M=1000

Bei der Erklärung kann es helfen das Ergebnis der ReLU-Aktivierung einfach als das Maximum $y$ von zwei Werten (0 und $x$ ) im Sinn zu haben. Die ersten beiden Constraints $constr(0)$ und $constr(1)$ sagen lediglich aus, dass dieses Maximum $y$ größer gleich der beiden Eingangswerte 0 und $x$ ist. Dies würde jedoch noch unendlich viele Werte $y$ zulassen. Da $d$ entweder 0 oder 1 ist ergibt sich durch $constr(2)$ und $constr(3)$ , dass das Maximum $y$ entweder kleiner gleich 0 oder $x$ ist.
Die Contraints haben dabei die Form, dass abhängig von $x$ nur eine Belegung von $d$ für ein zulässiges Gleichungssystem sorgt. Dieses hat dann entweder die Lösung $x\leq y\leq x$ oder $0\leq y\leq 0$ . Somit haben diese 4 Gleichungen immer nur eine zulässige Variablenbelegung , die nur genau eine Lösung für $y$ zulässt.

Beispiel:
$M$ = 1000

*rot markierte Felder stellen einen Widerspruch dar, während grün markierte Felder zeigen, welche Constraints den Lösungswert für $y$ bestimmen.

Visualisierung:

Visualisierung des Einflusses von $M$ :

Max-Pooling

Die Kodierung von Max-Pooling-Operationen kann im Groben als eine Kombination aus Convolutional Layer und ReLU verstanden werden. Jedoch gibt es nicht wie bei der ReLU nur 2 Kandidaten für das Maximum, sondern entsprechend der Größe des Max-Pooling-Kernels mehr. Jeder Kandidat bekommt für das Maximum 2 Constraints und eine binäre Variable. Zusätzlich wird je Berechnung eines Maximums ein weiteres Constraint benötigt, um genau ein Maximum zu bestimmen. Da dies von der Indizierung recht komplex wäre, obwohl Stride, Padding und Dilation bereits in der Erklärung vernachlässigt werden, lohnt es sich für das Verständnis nur eine einzelne Berechnung des Maximums anzusehen:
$\;\;\;\;constr(1):\; \;\;\;\;\;\;\;\;\;\;1=\sum_{i=0}^{h_{k}}\sum_{j=0}^{w_{k}}d_{i,j}\\ \;\;\;\;constr(m,n,1):\;\;\;y\geq x_{m,n}\\ \;\;\;\;constr(m,n,2):\;\;\;y\leq x_{m,n}+(1-d_{m,n})\cdot M\\ \;\;\;\;boundary(0):\;\;\;\;\;\;\; M=1000\\ \;\;\;\;boundary(m,n):\;\;\; d_{m,n}\in \left \{ 0,1 \right \}\\ \;\;\;\;m= 0, …,h_{k}-1\: \: \: \:n=0, …,w_{k}-1$

Die Variablen stehen dabei für:

$h_{k}\,, w_{k}$ Höhe und Breite des Max-Pooling-Kernels

Beispiel:
Wir gehen direkt davon aus, dass $constr(1)$ erfüllt ist und somit die Summe aller Binärvariablen $d_{i,j}$ gleich 1 ist. In diesem Beispiel wird ein Max-Pooling-Kernel mit der Größe 2 x 2 verwendet. Die Matrix der Kandidaten für das Maximum ist dabei:

x=\begin{pmatrix} 0 & -1\\ 4 & 2 \end{pmatrix}

*rot markierte Felder stellen einen Widerspruch dar, während grün markierte Felder zeigen, welche Constraints den Lösungswert für $y$ bestimmen.

Sicherheitskriterien für Klassifikationsprobleme

Der dritte Teil der Kodierung, neben den Transformationen und dem neuronalen Netz, ist das jeweilige Sicherheitskriterium. Dieses Sicherheitskriterium beschreibt die Eigenschaften für sicheres Verhalten und ermöglicht somit ebenfalls das ableiten eines Beispiels, welches die Robustheit widerlegt. Das Sicherheitskriterium wird also auch als Menge von Constraints in Abhängigkeit der Aufgabe des neuronalen Netzes (Klassifikation, Regression, Objekterkennung, …) abgebildet. Sicherheitskriterien im Allgemeinen basieren auf dem Prinzip, dass abhängig von einem bekannten Eingangswert $x$ und definierten Transformationen kein Eingangswert ${x}'\,$ abgeleitet werden kann, der ungewollte Verhalten mit sich bringt.
Im Falle der Klassifikation ist dieses Kriterium, dass sich das Klassifikationsergebnis trotz Veränderungen des Eingangsbildes durch die definierten (photometrischen) Transformationen nicht ändert. Dafür gehen wir davon aus, dass die möglichen Klassen im Output-Layer one-hot-encoded sind. Das Neuron mit der höchsten Aktivierung, welches die prädizierte Klasse bestimmt, nennen wir im folgenden Gewinner-Neuron.
Da das Verfahren auf dem Konzept des Widerspruchbeweises aufbaut, wird nach Gegenbeispielen für Robustheit gesucht. Für die Klassifikation ergibt sich daher, dass solch ein Gegenbeispiel bei einem anderen als dem ursprünglichen Gewinnerneuron den höchsten Aktivierungswert hat.

Dieses Kriterium kann mit den folgenden Constraints ausgedrückt werden:

\; \; \;\;constr(i):\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\;\; x_{i}+(1-d_{i})\cdot M\geq x_{idx_{o\verb|_|p}}\\ \; \; \;\; constr(n_{classes}+1):\;\;\;\;\; 1\geq \sum d_{i}\\ \; \; \;\;boundary(i):\;\;\;\;\;\;\;\;\;\;\;\;\;\;\; d_{i}\in \left \{ 0,1 \right \}\\ \; \; \;\;boundary(n_{classes}+1):M=1000\\ \; \; \;\;i=1, …,n_{classes}\wedge i\neq idx_{o\verb|_|p}

Die Variablen stehen dabei für:

$d_{i}$ binäre Variable
$M$ ausreichend großer Wert (zur Erfüllung von $constr(i)$ )
$n_{classes}$ Anzahl der möglichen Klassen / Output-Neuronen
$x$ Vektor der Länge $n_{classes}$ mit den Aktivierungswerten des Output-Layers
$idx_{o\verb|_|p}$ Index des ursprünglichen Gewinner-Neurons

Die Constraints $constr(i)$ sind dann erfüllt, wenn entweder die Aktivierung des jeweiligen output-Neurons höher ist als die Aktivierung des ursprünglichen Gewinner-Neurons oder ein Wert aufsummiert wird. Damit dieser Summand $(1-d_{i} )\cdot M$ für die Erfüllung des jeweiligen Constraints $constr(i)$ sorgt, muss die zugehörige binär Variable $d_{i}$ den Wert 0 haben.
Das Constraint $constr(n_{classes}+1)$ fordert jedoch, dass mindestens eine binäre Variable $d_{i}$ gleich 1 ist und somit der Aktivierungswert das mindestens eines anderen Output-Neurons höher ist, als die des ursprüngliche Gewinner-Neurons.
Wenn eine zulässige Lösung existiert, liefert der MILP-Solver das entsprechende Gegenbeispiel und widerlegt somit die Robustheit der KI. Wenn jedoch kein Gegenbeispiel gefunden werden kann, beweist dies die Robustheit der KI.

Abschließende Worte

In diesem Teil des Blogs haben wir einen Einblick in unsere Arbeiten zu dem Thema der formalen Verifikation von KI-basierten (Fahr-)Funktionen geboten. Die hier präsentierten Kodierungen sind dabei nur ein Teil der Transformationen, Operationen und Sicherheitskriterien, mit denen wir uns im Rahmen dieses Ansatzes beschäftigen.

Wenn ihr mehr wissen möchtet, dann freuen wir uns von euch zu hören!

English Version

Part 2 of 2: an approach for the formal verification of neural networks in detail

In the first part of this blog, we described the following task: „How can we translate human-understandable safety criteria for neural networks into a correct and complete mathematical problem which can be proven?“. As an example, we will continue to look at a neural network for traffic sign recognition, which must be able to cope with different lighting situations.

What behavior is verified exactly?

In our example, the different lighting conditions are modeled by photometric transformations. Thus, the robustness of the neural network against those photometric transformations is checked. Such transformations are for example the change of brightness or contrast.
For this article, we look at a reduction of the contrast by up to 50% of the original value. If we consider a potential input image for a neural network $x$ with color channels $c_{in}$ , height $h_{in}$ and width $w_{in}$ , we can describe the contrast reduction formally as follows:
$\,\,\,\,\,\,\,\,{x}'_{c,h,w}=\alpha\cdot x_{c,h,w}\,\,\,\,\alpha \in [0.5,1],$
where $\alpha$ is the factor to describe the reduction of the contrast.

For more background information on the topic „photometric transformations“, the documentation of OpenCV offers a good overview: https://docs.opencv.org/3.4/d3/dc1/tutorial_basic_linear_transform.html

This brings us to the point where the translation into the form of a Mixed-integer linear programming (MILP) encoding begins.

In our example of contrast reduction, the considered transformation is applied identically to every pixel in every color channel of the original image, resulting in the first $c_{in}\cdot h_{in}\cdot w_{in}$ constraints:
$\; \; \; \;constr\left ( c,h,w \right ):\, {x}'_{c,h,w}=\alpha \cdot x_{c,h,w}\\ \; \;\; \; c=0,\ …, c_{in}-1\;\; \; \: h=0, …, h_{in}-1\;\; \; \: w=0, …,w_{in}-1$
And a single boundary for a variable:
$\; \; \; \;boundary(1):\; 0.5\leq \alpha \leq 1$

With the variables:

$c_{in},\, h_{in},\, w_{in}$ number of color channels, heights and width of the image
$x$ original image
${x}'\,$ transformed image

For example, if the neural network processes RGB images with a resolution of 640 $\cdot$ 480 pixels, then there are already 921601 (in-)equations!

The Encoding of Neural Networks as a MILP

At this point we present the MILP encoding of the most common layers of neural networks in a (relatively) brief form. The layers themselves are not explained conceptually and are assumed to be background knowledge. A good reference for the notations used in this blog is the pytorch documentation: https://pytorch.org/docs/stable/nn.html