对抗样本存在的猜想

  • 最初的猜想- low-probability spaces

一开始,对抗样本被认为存在于低概率空间,难以通过对输入周围空间的随机采样来获取。寻找公式2的解决方案 包含了输入空间来寻找对抗样本,使得solver能够找到扰动。而最先进的dnn模型已经使用数据增强方法来增加它们的鲁棒性,转换后的输入是高度相关的并且同分布的。对抗样本被认为既不相关也不同分布,导致了导致了这样的理论:它们位于数据流形的“口袋”中 [161]。

Gu和Rigazio [69] 研究了这些pockets的大小然后发现它们在体积上是相对大的并且局部连续的。作者假设对于对抗样本的敏感是与选择一个错误的目标函数或者是训练方法的不足有关而不是模型拓扑的结果。因此,提出一种能够有效地输出 数据方差较低的区域 的训练方法,应该可以解决这个问题。作者试图设计一种最小化网络输出方差的防御方法,对于小扰动和小数据集取得了一些成功。然而,这不足以为更大的数据集或扰动训练鲁棒的模型。

[161] Christian Szegedy, Wojciech Zaremba, Ilya Sutskever, Joan Bruna, Dumitru Erhan, Ian Goodfellow, and Rob Fergus.
2013. Intriguing properties of neural networks. arXiv:1312.6199.

  • 线性猜想

Goodfellow反驳以上猜想,提出了对抗样本跨越 大的高维区域 的猜想。作者认为,存在对抗性的例子是因为dnn实际上具有非常线性的行为,尽管隐藏层中存在非线性变换。选择易于优化的激活函数(如ReLU)可以使DNN表现得更线性。因此,对高维输入的所有维度的小扰动求和会迫使整个求和朝着可能导致错误分类的方向发展。如第6.1.1节所述,这一假设导致发现更有效的方法来产生对抗性例子。线性假设的经验证据也由[96,162,166]提供。罗[113]提出了这个猜想的一个变体,其中dnn在输入流形的某些区域是线性的,而在其他区域则是非线性的。

[65] Ian Goodfellow, Jonathon Shlens, and Christian Szegedy. 2015. Explaining and Harnessing Adversarial Examples.
ICLR (2015).

  • 梯度消失

Rozza等人。[141]认为正确分类的输入的梯度在训练过程中会减小,并且无法在训练数据周围创建平坦区域。因此,大多数训练数据位于决策边界附近,小扰动可以将输入推过边界。作者假设,提出一种避免这种现象的训练算法将减轻对抗样本的威胁。然而,正如我们将在第7.4节中讨论的,对梯度施加限制并不是一种有效的防御措施。

[141] Andras Rozsa, Manuel Gunther, and Terrance E. Boult. 2016. Towards robust deep neural networks with BANG.
arXiv:1612.00138.

  • 边界倾斜假设

塔奈和格里芬 质疑线性假设不“令人信服”[163]。首先,因为小扰动是相对于激活的,而增加了线性。因此,输入和扰动之间的比率保持不变。其次,作者认为线性行为不足以解释对抗样本现象,并论证了建立对对抗样本不敏感的线性模型的可能性。

相反,作者提出了边界倾斜的观点,基于这样一个假设:学习的类边界靠近数据流形,但是边界相对于它倾斜。然后,通过从数据流形向分类边界 去扰动 点,直到被扰动的输入越过边界,就可以找到对抗性的例子。如果边界只是稍微倾斜,那么扰动穿过决策边界所需的距离就非常小,这将导致强大的对抗样本,在视觉上几乎不易察觉地接近数据。作者认为,对抗样本很可能发生在数据的低方差方向上,因此推测对抗性例子可以被认为是过度拟合现象的影响,这种现象可以通过正则化得到缓解。

Izmailov等人。[87]研究了这一理论,通过在分类过程中从输入中去除低可变性特征,发现去除这些特征几乎不能提高鲁棒性。然而,去除互信息低的特征对鲁棒性有很大影响。同样,Ilyas等人。[86]指出,对抗性的例子是非鲁棒性特征的结果,这些特征来自于数据中的模式,这些模式可以很容易地被计算机预测,但人类无法理解。

  • 与决策边界相关。

Moosavi Dezfouli等人。[121]证明了产生通用扰动是可能的,这种扰动可以应用于任何输入。在调查这一现象时,作者假设对手的例子利用了决策边界之间的几何关联。准确地说,作者提出了一个低维子空间的存在性,该子空间包含垂直于输入周围决策边界的向量。

Fawzi等人。[51]研究了与决策边界曲率相关的对抗样本的敏感性。结果表明,决策边界上的小曲率增加了分类器对抗鲁棒性。因此,假设 限制决策边界的曲率可以提高对抗性样本的敏感性。[165]中提出了类似的假设,[122]中给出了更多的理论分析。

  • 非 i.i.d假设

一个不同的假说认为对抗样本不在数据流形中,而是从不同的分布中取样[57,102,116,154]。这个假设导致了对抗性检测方法的提出(第7.1节),并尝试用生成模型来学习这种新的分布。虽然有趣的是,这一假设的证明意味着对抗性的例子打破了i.i.d.假设,因此需要更多的经验数据。

卡里尼和瓦格纳[24]也对这一假设提出质疑,他们开发了能够轻易绕过对抗探测器的攻击。

  • 流形几何假设。

Gilmer等人。[59]假设对抗样本是数据流形的高维(可能是复杂的)几何结构的结果。作者使用了一个更易于探索的合成数据集,发现只要分类器有最小的测试误差,输入分布中得到正确分类的大多数数据点都位于错误分类输入的附近。因此,当训练是在近似真实分布的情况下进行的,模型对对抗样本是敏感的。这一结果提出了一个问题,即是否可以消除对抗样本的敏感性。此外,作者驳斥了对抗样本不在数据流形的假设。

  • 与训练资源有关。

根据第2节中简要讨论的PAC学习模型,Schmidt等人[147]表明训练鲁棒模型学习的样本复杂度可以显著高于训练非鲁棒模型。特别地,为了获得l∞范数的鲁棒性,需要在输入维上增加样本complexity polynomial。同样,Bubeck等人[19] 认为统计查询模型中的鲁棒学习以指数方式地增加查询数量。有点不同的是,Cullina等人[33]证明了在由 凸约束集 约束的对抗 存在时,样本复杂度不会增加。这一结果表明,在一定的约束条件下,鲁棒性是可以实现的,但这类集合的实用性尚未得到评估。齐普拉斯等人[167]表明获得鲁棒性涉及到失去准确性,并且这种权衡普遍存在 与ML模型无关。

总之

尽管塔奈和格里芬[163]声称反驳了线性假设,但仍然没有足够的经验证据完全否定它。可以说,高维空间中的线性变换足以使样本朝倾斜边界方向移动,从而导致错误分类。然而,作者成功地证明了对抗性例子不仅仅是由于DNNs的线性行为。正如Gilmer等人所说,流形的复杂几何结构可能是对抗性例子的根本原因。[59]。然而,仍然没有研究来调查是否发现对抗性例子的概率受到流形的几何约束。同样,也没有研究将非稳健特征与流形的几何结构联系起来。如[86]所建议的,去除非稳健特征是否会导致数据在光滑流形上得到更好的表示?进一步说,没有证据表明显示对抗性的例子不在数据流形中。使用这一主张的出版物试图开发对抗性探测器,并取得了一定的成功,然而,它们的功效仍然很低。

在决策空间中,对抗性的例子是在小空间还是在大空间中,目前还没有定论。根据Gilmer等人。[59]它们与测试误差和模型正确近似输入分布的能力成正比。然而,对于高容量模型,还需要更多的证据来支持这一猜想。

一些出版物指出对抗性稳健性存在局限性[19,49,59],甚至对对抗性例子的敏感性也无法消除[59]。这样的结果引发了关于该领域未来研究的几个问题,其中一些问题将在第10节中讨论。我们认为,需要更多的基础研究,类似于[33,59,86,147],以解释DNNs这种特殊行为的原因和影响,并在第9节中阐明主题

HYPOTHESES ON THE EXISTENCE OF ADVERSARIAL EXAMPLES相关推荐

  1. 论文笔记——EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES(解释和利用对抗样本)

    本文参考了三篇笔记,帮助很大: <Explaining and Harnessing Adversarial Examples>阅读笔记 [论文笔记]Explaining & Ha ...

  2. 对抗样本方向(Adversarial Examples)2018-2020年最新论文调研

    调研范围 2018NIPS.2019NIPS.2018ECCV.2019ICCV.2019CVPR.2020CVPR.2019ICML.2019ICLR.2020ICLR 2018NIPS Conta ...

  3. The Dimpled Manifold Model of Adversarial Examples in Machine Learning 文献阅读

    注:本文是楼主在原文的基础上,结合网上内容理解整理的.该文不一定准确,仅供各位参考,欢迎批评指正!另外,禁止商业用途的转载,谢谢! 目录 写在前面 1. 核心思想 1.1. 概念介绍 (Dimpled ...

  4. [深度学习论文笔记][Adversarial Examples] Deep Neural Networks are Easily Fooled: High Confidence Predictions

    Nguyen, Anh, Jason Yosinski, and Jeff Clune. "Deep neural networks are easily fooled: High conf ...

  5. [advGAN]Generating Adversarial Examples With Adversarial Networks

    这周读论文..读的是这篇反正.这个内容比较新,网上也没啥有特别有价值的参考内容,把学习笔记发上来,希望能有一点点帮助 嗯似乎是提出了用GAN以解决神经网络安全性的问题... 白盒攻击 攻击者能够获知机 ...

  6. 对抗机器学习——FGSM经典论文 EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES

    EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES 论文URL http://users.wpi.edu/~kmus/ECE579M_files/Readin ...

  7. 对抗攻击经典论文——FGSM学习笔记 EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES

    论文下载:Explaining and Harnessing Adversarial Examples 1摘要 几种机器学习模型,包括神经网络,一致地将对抗样本误分类--通过对数据集样本添加细微而刻意 ...

  8. Explaining and Harnessing Adversarial Examples——论文的学习笔记01

    这篇文章由Goodfellow等人发表在ICLR'2015会议上,是对抗样本领域的经典论文.这篇文章主要提出与之前论文不同的线性假设来解释对抗样本的存在性.同时,论文提出了一种简单的对抗样本生成方法: ...

  9. Explaining and Harnessing Adversarial Examples

    Explaining and Harnessing Adversarial Examples 包括神经网络在内的一些机器学习模型,始终对对抗性样本进行错误分类–通过对数据集中的例子应用小的但有意的最坏 ...

最新文章

  1. NTU 课程笔记:Nonparametric statistics
  2. python interpreter 中没有torch_PyTorch扩展自定义PyThon/C++(CUDA)算子的若干方法总结
  3. python加四位随机数_python生成四位随机数
  4. 更改电脑外部串口端口COM号
  5. javascript date utc
  6. java 菜单快捷键_Java为菜单栏添加快捷键
  7. 李华上大学了吗?(I)
  8. opencms10.5.1如何汉化
  9. 五、ELK设置用户密码登陆
  10. 被打脸!谁说区块链无落地?这50大落地场景拿走不谢
  11. 判断给到的年份是否为闰年
  12. 黄金思维圈,养成透过现象看本质的能力
  13. python 的math函数库
  14. 微信公众号前后端分离授权登录
  15. 计算机语言表示教师节快乐,教师节快乐的祝福语38句
  16. 1953年克里克和沃森发现DNA双螺旋结构
  17. 基于DHT11的温湿度显示
  18. 【暑假复习】【搜索】POJ3009:Curling 2.0
  19. 同程艺龙小程序性能监控系统的探索与实践
  20. 基于MariaDB4j实现持久层单元测试

热门文章

  1. 计算机网路——163邮箱授权码
  2. H.264与x264的区别
  3. 粒子群算法Fortran代码(OMP并行)
  4. Xiaojie雷达之路---毫米波雷达基础知识---速度估计
  5. 点集拓扑学的历史介绍
  6. Cloud IDEs For Web Developers – Best Of
  7. 游戏中常用的设计模式
  8. 沐风:小程序固然好!凭什么能自动赚钱?
  9. Electron 桌面应用问题解决方法
  10. 驱动开发笔记1—内核中的事件、进程、线程、自旋锁