9078通过曲率正则化实现鲁棒性,反之亦然赛义德-穆赫辛·穆萨维-德兹富利epfl.chJonathan Uesatojuesato@google.comAlhusseinFawzi穆罕默德afawzi@google.com帕斯卡·弗罗萨尔pascal. epfl.ch摘要最先进的分类器已被证明在很大程度上容易受到对抗性扰动。提高鲁棒性最有效的策略之一是对抗训练。在本文中,我们研究了对抗训练对分类景观和决策边界几何形状我们特别表明,adversar- ial训练导致损失曲面的曲率相对于输入的显着减少,导致网络的一个更显着的使用局部二次近似,我们提供了理论上的证据,大鲁棒性和小曲率之间的强关系的存在。为了进一步证明减少曲率对提高鲁棒性的重要性,我们提出了一种新的正则化器,它直接最小化损失曲面的曲率,并导致与对抗训练相当的对抗鲁棒性除了是对抗训练的更有效和更有原则的替代方案之外,所提出的正则化器证实了我们关于在数据点附近表现出准线性行为以实现鲁棒性的重要性的主张1. 介绍对抗性训练最近被证明是提高深度神经网络对抗性扰动鲁棒性的最成功方法之一[9,17,16]。这种方法包括在扰动样本上训练分类器,目的是实现比在原始训练集上训练的网络更高的鲁棒性。尽管这种训练机制的重要性和流行性,对抗性训练对分类器的几何属性的影响-*前两位作者对本书的贡献相当洛桑理工学院DeepMind理解。特别是,对抗训练模型的决策边界和损失景观与在原始数据集上训练的模型相比如何?在本文中,我们分析了这些属性,并表明对抗训练的主要影响之一是导致分类器的损失函数和决策边界的曲率显着降低更重要的是,我们证明了对抗训练的这种几何含义使我们能够解释对抗训练模型的高鲁棒性为了支持这一说法,我们遵循一种合成方法,其中提 出 了 一 种 新 的 正 则 化 策 略 , Curva- tureRegularization(CURE),鼓励小曲率,并证明其可达到与对抗训练相当的鲁棒性水平这突出了小曲率对于提高鲁棒性的重要性。更详细地说,我们的贡献总结如下:• 我们的经验表明,对抗性训练导致输入空间决策边界和损失景观的曲率显着下降。• 使用损失函数的二次近似,我们建立了关于曲线的对抗性扰动的鲁棒性的上界和下界真实的损失。这些界限证实了低曲率和高鲁棒性之间的关系的存在• 受逆向训练网络对损失函数曲率的影响和我们的理论界的启发,我们提出了一个有效的正则化器鼓 励 小 的 弯 曲 。 在 标 准 数 据 集 ( CIFAR-10 和SVHN)上,我们证明了所提出的正则化器显著提高了神经网络的鲁棒性,与对抗训练相当。后一步表明,所提出的正则化器可以被视为对抗训练的更有效的替代方案。更重要的是,它表明对抗训练对曲率减小的影响不仅仅是副产品,而是导致鲁棒性增加的驱动效应。我们在这里强调,本文的主要重点是9079主要是后者相关作品。分类器对对抗性扰动的巨大脆弱性首先在[3,21]中被强调。从那时起,提出了许多旨在提高鲁棒性的算法[9,20,16,4,1]。与此同时,在设计改进的攻击方面有大量的工作[17,16],这些工作强调了许多提出的防御方法掩盖了模型,而不是使模型真正鲁棒地然而,有一种防御方法--对抗性训练--已经证明对所有设计的攻击都是经验上强大的本文的目标是对 这 种 现 象 进 行 分 析 , 并 提 出 一 种 正 则 化 策 略(CURE),它模仿了对抗训练的效果。在分析方面,许多作品分析了对抗性示例的存在,并提出了几个假设[6,8,22,5,12]。在[9]中,假设网络不是鲁棒的,因为它们表现出“过于线性”的行为。我们在这里表明,损失函数相对于输入的线性度(即小曲率)相反有利于鲁棒性:对抗性训练确实导致数据点附近的线性损失函数更多,并且我们验证了这种线性确实是增强鲁棒性的来源。我们最后注意到,先前的工作已经尝试使用梯度正则化来提高鲁棒性[10,15,19]。然而,这样的方法还没有被证明在复杂数据集上产生显著的鲁棒性,或者还没有进行广泛的鲁棒性评估。相反,我们在这里的主要重点是研究损失景观的二阶属性的影响,并显示存在与对抗性示例的鲁棒性的强联系。2. 对抗训练的几何分析我们通过检查对抗训练对分类器决策边界几何特性的影响来开始我们的分析。要做到这一点,我们首先比较有无对抗训练的分类器的决策边界具体来说,我们研究了对抗性微调的效果,其中包括在对抗性示例上使用一些额外的时期来微调训练过的网络。1我们考虑CIFAR-10 [14]和SVHN [18]数据集,并使用ResNet-18 [11]架构 。对于对 抗性示 例的微调 ,我们 使用DeepFool [17]。图图1显示了决策的正常横截面(a) 原件(CIFAR-10) (b)Finetuned(CIFAR-10)(c) 原始(SVHN)(d)微调(SVHN)图1:在CIFAR-10(第一行)和SVHN(第二行)上训练的ResNet-18分类器的决策边界的随机正态横截面。第一列是在原始数据集上训练的分类器,第二列显示了在CIFAR-10的20个时期和SVHN的10个时期进行对抗性微调后的边界。绿色和红色区域分别表示正确的类和不正确的类。中间的点表示数据点,而线表示不同的决策边界(请注意,红色区域可能包含不同的错误类)。在CIFAR-10和SVHN数据集上训练的筛选器。具体地,分类区域在由(r,v)跨越的平面中示出,其中r是决策边界的法线,并且v对应于随机方向。除了在数据点和决策边界之间引入更大的距离(因此导致更高的鲁棒性)之外,观察到微调网络的决策区域更平坦且更规则。特别是,注意,决策边界的曲率在微调后减小。为了进一步量化这一现象,我们现在计算对抗性微调之前和之后损失函数(相对于输入)的曲率分布例如,让f表示表示网络相对于输入的损失的函数;例如,在交叉熵的情况下,f θ (x )=XEnt (fθ(x),y),其中y是真实的fθ(x)表示logits。2The曲率轮廓对应于特征值的集合,Hessian矩阵在对抗性微调之前和之后,1虽然对抗性微调与普通对抗性训练不同,后者包括从头开始训练对抗性图像,但我们使用. ∂2ℓΣH=xi∈Rd×d本文中的一个对抗性微调网络,因为它允许挑选出训练对对抗性例子的影响,而不是在普通对抗性训练过程中发生的其他不可控现象[2]为了简单起见,我们省略了图中的标签y,因为这个标签可以从上下文中理解。9080本征值分布原始对抗43210-1-2本征值分布原始对抗1.51.00.50.0-0.50 500100015002000250030000 50010001500200025003000(a) CIFAR-10(b)SVHN图2:原始和反向微调网络的曲率分布,对应于Hessian的排序特征值。注意,特征值的数量等于32×32×3= 3072,这对应于输入维度的数量。使用ResNet-18架构其中x i,i = 1,. . . ,d表示输入像素。我们强调的事实是,上述海森是关于输入,而不是网络的权重为了在实践中计算这些本征值,我们注意到,对于任何z,Hessian向量积由以下给出:对于h → 0,Hz=(x + hz)−(x)。(一)H然后,我们通过在等式中选择有限h来进行有限差分近似。(一).除了比生成完整的Hessian矩阵(这对于高维数据集来说是禁止的)更有效之外,有限差分方法还具有测量数据点邻域中梯度的更大尺度变化(其中尺度使用参数h设置)而不是无限小的逐点曲率的益处。这在对抗分类的设置中至关重要,我们在一个小的数据点邻域中分析损失函数而不是可能捕获函数的非常局部的(并且不相关的)变化的渐近状态h→03直觉上,H的小特征值(绝对值)表示x周围的图的小曲率,因此意味着分类器在x附近具有相反,大的特征值(绝对值)意味着图像x附近的损失函数的高曲率。例如,在本征值恰好为零的情况下,函数变为局部线性的,因此导致平坦的决策表面。我们计算了100个随机测试样本的曲率分布,并在图中显示了平均曲率。CIFAR-10和SVHN数据集为2。注意,对抗性微调导致了3例如,使用ReLU非线性导致分段线性神经网络作为输入的函数。这意味着在logits处计算的Hessian恰好为0。然而,这个结果是非常局部的;使用有限差分近似,我们专注于大规模的邻居。FGSMPGD(7)PGD(20)原始三十八岁。0%的百分比11个国家。0%的百分比0的情况。百分之五0的情况。百分之二微调61岁0%的百分比五十七百分之五五十七百分之二五十六百分之九表1:CIFAR-10上原始和微调网络的对抗精度,其中对抗示例使用不同攻击计算;[9][17][18][19]扰动被约束为具有小于λ=4的λ∞范数(图像的像素值在[0,255]中)。数据点附近的损失。为了进一步定性地说明对抗性训练导致的曲率的显著降低,图。图3示出了沿着正常和随机方向r和v的对抗训练之前和之后的损失表面。观察到,虽然原始网络在某些方向上具有较大的曲率,但对抗性训练的效果类线性)损失。最后,我们注意到,对抗性训练对损失面的影响有以下几点自相矛盾的含义:虽然对抗性训练的模型对对抗性扰动更鲁棒(与原始网络相比),但它们也更容易被愚弄,因为简单的攻击与复杂的攻击一样有效。这与原始网络形成鲜明对比,在原始网络中,复杂网络涉及许多梯度步骤(例如,PGD(20))比简单方法(例如,FGSM)。参见表1。对抗训练模型上不同攻击的对抗准确度之间的相对较小的差距是损失曲率显著降低的直接结果,从而需要少量的梯度步骤来找到对抗扰动。9081∗(a)原始(CIFAR-10)(b)微调(CIFAR-10)(c)原始(SVHN)(d)微调(SVHN)图3:损失函数的负值的图示;也就是说,-ε(s),对于属于由判定边界的法线方向r和随机方向v所张成的平面的点s。原始样本以蓝点表示。表面的浅蓝色部分对应于低损耗(即,对应于样本的分类区域),并且红色部分对应于高损耗(即,敌对区域)。3. 曲率对鲁棒性影响的分析虽然我们的研究结果表明,对抗性训练导致损失曲率的降低,但对抗性鲁棒性和损失曲率之间的关系仍然不清楚。 为了解释这种关系,我们考虑一个简单的双-分类设置介于1级和-1级之间。回想一下,R1(·,1)表示表示网络相对于类1的输入的损失的函数。例如,在考虑对数损失的设置中,我们有n(x,1)=−log(p(x)),其中p(x)表示对应于类1的softmax的输出。在这种情况下,x被分类为1类当且仅当n(x,1)≤log(2)。为了简单起见,我们假设在我们的分析中x属于类1而不失一般性,因此省略了第二个参数在本节的其余部分。我们假设函数λ可以用二次函数局部很好地近似;也就是说,对于“足够小”r,我们可以写:界值下限上限21.81.61.41.210.80.60.40.20 2 4 6 8图4:方程式中的上限和下限的图示(2)和(3)关于曲率ν的鲁棒性。我 们设(x)=1,c=1,(x)Tv=0。5在这个例子中。(x+ r)(x)Tr+1rT2哈定理1. 设x使得c:= t − k(x)≥ 0,且设g= x( x)。假设ν:=λmax(H)≥0,设u为其中,H(x)和H分别表示在x处的梯度和Hessian。设x是一类点;对应于ν的特征向量。然后,我们有. .Σ也就是说,其中t表示损失阈值(例如,t=log(2)表示log损失)。对于这个数据点x,我们定义r是最小扰动,在θ2的意义4,ǁgǁν2νc1+g2−1不超过100%(2). .Σ不欺骗分类器,假设二次近似成立;即,≤ |G u|ν2νc1+(gTu)2−1r:= argminrs.t.(x)+R1rT2Hr≥t。上述边界可以进一步简化为:(三)在下面的结果中,我们提供了关于损失函数在x处的性质的r的大小的上界和下界。[4]为了简单起见,我们使用了102范数 利用有限维空间中范数的等价性,我们的结果也允许我们限制∞对抗扰动的大小。cc2c-2ν≤π≤ǁ g ǁǁ g ǁ 3|gT u|证据可以在补充材料中找到。注1.降低成本,提高曲率 注意,鲁棒的上界和下界-9082AdvAdvHXxt= log(2)在实践中,损失函数的最大曲率的rection,这导致近似紧界。(四)Adv(三)Adv(二)(一)adv adv(x0)x0的4. 通过曲率正则化提高鲁棒性虽然对抗性训练导致数据点附近的损失具有规律性,但目前尚不清楚这种规律性是否是对抗性训练的主要效果,它赋予了网络的鲁棒性,或者它只是副产品图5:曲率对对抗鲁棒性的影响的一维几何图示不同的损失函数(具有不同的曲率)在一个更复杂的现象。为了回答这个问题,我们在这里遵循一种合成方法,在这里我们推导出一个正则化器,它模仿了对抗训练的效果数据点x0和x(i)指出在这些点上,在损失函数上损失超过t(其中t是误分类阈值)。所有曲线在x0处具有相同的损失和梯度。请注意,增加曲率会导致较小的对抗性示例(即, 较小|x0−x(i)|).Curvature Regularization(CURE)方法。 回想一下,H表示在数据点x处的损失的Hessian。我们用λ1,. . . ,λ d是H的特征值。 我们的目的是惩罚H的lar geeigen values;因此,我们考虑正则化子Lr=ip(λi),其中p是非负函数。在Eq。(2)、(3)随曲率ν的增大而减小。看到这个,Fig。图4说明了边界对曲率ν的依赖性。换句话说,在二阶近似下,这表明小曲率(即,小的Hessian特征值)有利于获得具有更高鲁棒性的分类器(当其他参数保持固定时)。这与我们在第2节中的观察结果一致,在第2节中,观察到鲁棒模型比在原始数据上训练的网络具有更小的曲率。图5提供了在一维示例中随着曲率增加而降低的鲁棒性的直观性。备注2.依赖于梯度。除了对曲率ν的依赖性之外,请注意上界和下界取决于梯度εr(x)。特别地,这些界限随着范数的减小而减小(对于固定的方向)。因此,在二阶近似下,这表明鲁棒性随着梯度的增大而降低。然而,如前所述[24,2],施加小梯度可能会提供错误的鲁棒性。也就是说,虽然具有小的梯度可能使基于梯度的方法难以攻击网络,但网络仍然容易受到小扰动的影响。第三条捆绑紧密度。请注意,当梯度x(x)与最大特征向量共线联合 有趣的是,这个条件似乎近似于在实践中,作为平均标准化的内部产品,不我们将其设置为p(t)=t2,以鼓励所有特征值都很小。对于p的这种选择,Lr对应于矩阵H的Frobenius范数。我们还注意到ΣLr=p(λi)=trace(p(H))=E(zT p(H)z)=EHz2,我其中期望值取z<$N(0,Id)。 通过使用Hessian的有限差分近似,我们有Hz(x+hz)−(x),其中h表示离散化步骤,并控制我们要求梯度变化很小的尺度。因此,Lr变为L= 1 E(x + hz)−(x)2。rh2上面的正则化器涉及计算zN(0,Id)上的期望,并且沿着所有方向同等地惩罚大曲率。不是用从N(0,Id)得出的各向同性方向上的经验期望值ΔHzΔ2来近似上述,而是选择已知导致高曲率的方向(例如,[13,7]),以及最小化沿着这些选定方向的曲率。后一种方法更有效,因为每个矩阵-向量乘积Hz的计算涉及一次反向传递;因此,聚焦在高曲率方向上对于最小化总曲率而不必经过输入空间中的每个单个方向是必要的。这种选择性的方法更适合于非常稀疏的性质,UCT|电子邮件(x)u|CIFAR-10等于0。43.在adver之前-我们在实践中看到的曲率轮廓(见图1)。(2)只有ǁ∇ℓ(x)ǁ2sarial微调,和0. 微调后为90(平均超过1000个测试点)。这个内积明显大于两个典型向量uni之间的内积从球体中取样,1≈0。02. 因此,梯度与二-D一些特征值很大。这为识别大曲率方向和惩罚沿着这些方向的曲率提供了进一步的动机。[7,13]中的先前工作已经将梯度方向识别为高曲率方向。此外,经验证明,√XX9083H2表2:CIFAR-10针对原始、正则化和对抗训练模型的对抗和干净准确度。报告了ResNet和WideResNet模型的性能,并使用PGD(20)计算扰动。扰动被约束为具有小于λ=8的λ∞范数(其中像素值在[0,255]中)。ResNet-18 WideResNet-28×10清洁对抗性清洁对抗性正常训练94 百分之九0的情况。0%的百分比94 占6%0的情况。0%的百分比治愈81. 百分之二三十六百分之三83岁百分之一41岁百分之四对抗训练[16]79岁。百分之四四十三占7%87岁百分之三四十五百分之八第3节(注3)中的证据表明,最大特征值对应的特征向量与梯度方向的内积很大;这提供了梯度指向高曲率方向的进一步指示,并且因此是用于z. 我们在实践中设置z=sign(x),最后考虑符号(对抗准确性ResNet-18 WResNet-28x100.80.70.6调节器5Lr=( x+ hz) −( x)2,0.50.4其中1被正则化参数吸收。我们的微调程序,然后对应于最小化0 1 23 4 5 6 7 8相对于权重参数的正则化损失函数r+γLr,其中γ控制相对于损失项的正则化我们强调,所提出的正则化方法与对抗训练有很大的不同。特别地,虽然对抗性训练在于最小化扰动点上的损失(这涉及解决优化问题),但我们的方法在于在足够小的尺度上施加梯度的正则性(即,由h决定)。以前的工作[16]已经表明,使用弱攻击的对抗训练(例如FGSM [9],它涉及单个梯度步骤)不会提高鲁棒性。我们表明,我们的方法,而不是强加梯度规律性(即,小曲率)确实导致网络鲁棒性的显著改进我们在CIFAR-10和SVHN数据集上使用两个预先 训 练 的 网 络 ResNet-18 [11] 和 WResNet-28 x10[25],其中像素值在[0,255]中。 为了优化正则化目标,我们使用Adam优化器,从预训练的网络开始,在20个epoch的持续时间内,学习率在[10- 4,10- 6]之间递减。 我们将h的值从0线性增加到1。在前5个epoch期间,我们使用h=5,从那里开始,我们使用固定值h= 1 。 五 、 对 于 γ , 我 们 分 别 为 ResNet-18 和WResNet-28设置为4和8[5]选择z(x)会导致几乎相同的结果。 我们选择设置z sign((x)),因为我们正在测试分类器对∞扰动的鲁棒性。因此,设置z为梯度的符号图6:对抗准确度与使用PGD(20)计算的扰动幅度的关系,用于在CIFAR-10上使用CURE训练的看到[16] 对应于对抗训练的曲线。为2000个随机测试点生成的曲线。结果我们使用20次迭代的强PGD攻击来评估正则化网络,因为它已经被证明优于其他对抗性攻击算法[16]。正则化网络的对抗精度在CIFAR-10的表2中报告,并在supp. SVHN材料此外,对抗准确度作为扰动幅度的函数在图中报告。六、观察到,虽然在原始数据集上训练的网络对扰动并不像预期的那样鲁棒,但使用所提出的正则化器进行20次微调会显著提高对抗性能。特别是,所提出的正则化器的性能与[16]中报道的对抗训练的性能相当。因此,这一结果显示了本文中描述的曲率减小现象在解释对抗训练成功方面的重要性除了验证我们的说法,即小曲率赋予网络鲁棒性(并且它是对抗训练中的基础效应)之外,我们注意到所提出的正则化器具有实用价值,因为它可以有效地计算更相关,因为它将z方向约束为属于感兴趣的9084SPSA与PGD比较6420-2-4-6本征值分布对抗训练CURE0.060.040.020-0.02-0.04原始-6-4-202 4 6050010001500200025003000Adv. 使用PGD的损失图7:使用CURE训练的网络中的梯度掩蔽分析使用SPSA计算的对抗性损失(y轴)与对抗性损失与PGD(100)(x轴)在一批1000个数据点。对抗性损失对应于真实类和对抗类的logits之差。散点图中的每个点对应于单个测试样品。负丢失表示数据点被错误分类。靠近y=x线的点表明,两次攻击都识别出了类似的对抗性扰动。线下方的点(以红色示出)指示SPSA识别出比PGD更强的对抗性扰动的请注意,总体而言,SPSA和PGD识别出类似的扰动。(a) ResNet-18(b)WideResNet-28图8:与图8相似的图。3,但其中显示了使用CURE获得的网络的损耗面。因此可以用作对抗训练的替代方案。事实上,所提出的正则化器需要2次向后传递来计算,并且用于20个时期的微调。相比之下,为了达到良好的鲁棒性,需要对强大的对手进行对抗训练[16],并从头开始对抗训练过程。我们注意到,强大的对手通常需要大约10次向后传递,使得所提出的正则化方案成为更有效的替代方案。然而,我们注意到所获得的结果比对抗训练略差;我们假设这可能是由于图9:使用对抗训练和CURE微调的网络的曲率曲线。使用CIFAR-10上的ResNet-18为了比较,我们还报告了原始网络的配置文件(与图相同)。2),其中我们裁剪值以适合y范围。对抗训练中的高阶效应没有被我们的二阶分析捕获,或者可能是由于超参数γ和h的次优选择。更强的攻击和验证梯度掩蔽的存在。 为了提供进一步的证据,网络的鲁棒性与CURE微调,我们试图找到更复杂的攻击算法的网络扰动。对于WideResNet-28x10,我们获得了41的adversarial准确度。当使用PGD(40)和PGD(100)时,测试集上的1%。这仅略差于表2中报告的PGD结果(20)。这表明,增加攻击的复杂性不会导致对抗准确性的显著下降此外,我们针对无梯度优化方法(SPSA)评估了该模型,类似于[24]中使用的方法,并获得了44.5%的对抗准确率。此外,我们还可以在图中看到。7.对抗性损失(代表真实类和对抗性类的logit得分之间的差异),使用SPSA和PGD为一批测试数据点计算。观察到这两种方法都导致了相当的对抗性损失(除了少数数据点),因此进一步证明CURE真正提高了鲁棒性,而不是掩盖或混淆梯度。因此,就像对抗性训练一样,在[24,2]中,对抗性训练被证明会导致对所有测试攻击都具有鲁棒性的网络,我们的实验表明正则化网络具有类似的鲁棒性。曲率和鲁棒性。我们现在分析使用CURE微调获得的网络,并表明获得的网络具有与adversarially训练的网络相似的几何特性。图图8示出Adv. 使用SPSA的损9085FHF7.06.05.04.03.02.01.00 5 1015历元Hz20.60.50.40.30.20.10.00 5 1015历元对抗准确率0.350.30.250.20.150.10.050.00 5 10 15历元图10:CIFAR-10上ResNet-18的CURE微调过程中的演变 这些曲线平均超过1000个数据点。左:弗罗贝纽斯范数的估计,中:z=sign(z_(x))/z_sign(z_(x)右:使用PGD计算的对抗准确度(20)。Frobenius范数的估计其中,期望值近似于100个样本zi<$N(0,I)上的经验期望值。=Ez<$N(0,I)<$Hz<$2,定性评价的对抗性扰动最后,我们在图中展示了一些对抗性的例子。11个用于SVHN训练的网络。观察使用CURE训练的网络显示出视觉上有意义的对抗性示例,因为扰动图像确实类似于来自对手类的图像在[23]中对对抗训练模型进行了类似的观察。图11:ResNet-18分类器的SVHN上的扰动图像和扰动的可视化。由(r,v)张成的平面,其中r和v分别表示决策边界的法线和随机方向。请注意,使用CURE获得的损失表面与使用对抗训练获得的损失表面非常相似(图1)。3),由此损失在数据点附近具有更线性的衰减。在数量上,图。图9比较了使用CURE和对抗性微调训练的网络的曲率分布。观察到两个轮廓非常相似。我们还报告了对抗精度和曲率量的演变图。10在使用CURE进行微调期间。注意,在整个微调过程中,曲率减小,而对抗精度增加,这进一步显示了鲁棒性和曲率之间的联系。注意,虽然我们明确地正则化为Hz(其中z是每个数据点的固定方向)作为HF的代理,该网络确实表明预期目标HF在训练过程中减少,因此进一步表明Hz作为全局曲率的有效代理。5. 结论在对抗训练几何分析的指导下,我们提供了经验和理论证据,表明小曲率和鲁棒性之间存在很强的相关性为了验证我们的分析,我们提出了一个新的正则化器(CURE),它直接鼓励年龄小曲率(换句话说,促进局部线性)。这种正则化器显着提高了深度网络的鲁棒性,甚至达到了与对抗训练相当的性能。鉴于将分类器的脆弱性归因于“深度网络的线性”的现有工作,该结果有点令人除了验证控制曲率对提高鲁棒性的重要性外,所提出的正则化器还提供了对抗训练的有效替代方案。在未来的工作中,我们计划利用所提出的正则化器来训练可证明鲁棒的网络。确认A.F.感谢Neil Rabinowitz和Avraham Ruderman进行了富有成果的讨论。S.M和P.F要感谢Google FacultyResearch Award和瑞士Hasler基金会在ROBERT项目框架内的支持。正常训练治愈原始图像9086引用[1] Alexander A Alemi 、 Ian Fischer 、 Joshua V Dillon 和Kevin Murphy。深层次的变信息瓶颈。国际学习表征会议(ICLR),2017年。[2] Anish Athalye,Nicholas Carlini,and David Wagner.模糊的梯度给人一种错误的安全感:规避对对抗性示例的防御。在国际机器学习会议(ICML),2018年。[3] 巴蒂斯塔·比吉奥、伊吉诺·科罗纳、达维德·马约卡、布莱恩·尼尔森、NedimSrndic'、PavelLaskov、吉奥·吉奥·贾钦托和法比奥·罗利。在测试时对机器学习的规避攻击。在关于数据库中的机器学习和知识发现的上,第387[4] Moustapha Cisse,Piotr Bojanowski,Edouard Grave ,Yann Dauphin,and Nicolas Usunier. Parseval网络:提高对抗性示例的鲁棒性。在2017年的国际机器学习会议(ICML)[5] Alhussein Fawzi、Hamza Fawzi和Omar Fawzi。任何分类 器 都 存 在 攻 击 性 漏 洞 。 在 神 经 信 息 处 理 系 统(NIPS),2018年。[6] A.法齐湖,澳-地Fawzi和P.弗罗萨德分类器对对抗扰动的鲁棒性分析。arXiv预印本arXiv:1502.02590,2015年。[7] Alhussein Fawzi 、 Seyed-Mohsen Moosavi-Dezfooli 、Pascal Frossard和Stefano Soatto。深度网络的拓扑学和几何学在IEEE计算机视觉和模式识别会议,2018。[8] 贾斯汀·吉尔默,卢克·梅斯,法塔什·法格里,塞缪尔·S·舍恩霍尔茨,迈特拉·拉古,马丁·瓦滕伯格和伊恩·古德费尔·洛。敌对领域。在国际会议上学习表示(ICLR),2018年。[9] Ian J. Goodfellow,Jonathon Shlens,Christian Szegedy.解 释 和 利 用 对 抗 性 的 例 子 。 国 际 学 习 表 征 会 议(ICLR),2015年。[10] S. Gu和L.里加齐奥走向对对抗性示例鲁棒的深度神经网络架构。arXiv预印本arXiv:1412.5068,2014。[11] Kaiming He,Xiangyu Zhang,Shaoying Ren,and JianSun.用于图像识别的深度残差学习。在IEEE计算机视觉和模式识别会议(CVPR),2016年。[12] Matthias Hein和Maksym Andriushchenko对分类器对抗性操作的鲁棒性的形式化保证。神经信息处理系统的进展,第2263-2273页,2017年[13] Saumya Jetley,Nicholas Lord,and Philip Torr.有这样的朋 友 , 谁 还 需 要 对 手 ? 在 神 经 信 息 处 理 系 统(NIPS),2018年。[14] A. Krizhevsky和G.辛顿从微小的图像中学习多层特征。多伦多大学计算机科学系硕士[15] Chunchuan Lyu,Kaizhu Huang,and Hai-Ning Liang.一个用于对抗性示例的统一梯度正则化族。IEEEInternationalConferenceonDataMining(ICDM),2015年。[16] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。迈向抵抗对抗性攻击的深度学习模型。在国际会议上学习表示(ICLR),2018年。[17] Seyed-Mohsen Moosavi-Dezfoooli , Alhussein Fawzi ,and Pascal Frossard. Deepfool:欺骗深度神经网络的简单而准确的方法。在IEEE计算机视觉和模式识别会议(CVPR),2016年。[18] Yuval Netzer , Tao Wang , Adam Coates , AlessandroBis-sacco,Bo Wu,and Andrew Y Ng.使用无监督特征学习读取自然图像中的数字。2011年,NIPS深度学习和无监督特征学习研讨会。[19] Andrew Slavin Ross和Finale Doshi-Velez通过正则化其输入梯度来提高深度神经网络的对抗鲁棒性和可解释性在AAAI,2018。[20] Uri Shaham,Yutaro Yamada,and Sahand Negahban.了解对抗训练:通过鲁棒优化提高神经网络的局部稳定性。arXiv预印本arXiv:1511.05432,2015年。[21] C. 塞格迪,W。扎伦巴岛萨茨克弗布鲁纳D。埃尔汉岛,智-地Goodfellow,和R。费格斯。神经网络的有趣特性。2014年,国际学习代表会议(ICLR)[22] 托马斯·塔奈和刘易斯·格里芬。从边界倾斜透视对抗性例子现象。arXiv预印本arXiv:1608.07690,2016。[23] 季米特里斯·齐普拉斯、希巴尼·桑图尔卡、洛根·恩斯特罗姆、亚历山大·特纳和亚历山大·马德里。鲁棒性可能与准确性不一致。arXiv预印本arXiv:1805.12152,2018。[24] Jonathan Uesato,Brendan O'Donoghue,Aaron van denOord,and Pushmeet Kohli.对抗性风险和针对弱攻击进行评估的危险。在国际机器学习会议(ICML),2018年。[25] Sergey Zagoruyko和Nikos Komodakis广泛的残余网络。arXiv预印本arXiv:1605.07146,2016。
我的内容管理
展开
