分类目录归档：论文

Madry等（2018）提出一种能有效抵御一阶对抗攻击的防御方法，该方法从优化的角度研究神经网络的对抗鲁棒性，为之前对抗训练防御方法提供了大一统的视角。同时，该方法还明确了防御各种对抗攻击所需要的具体安全保证。除此之外，该方法还包含了生成对抗样本的方法，因此该方法也可以用来攻击目标模型。由于该方法使用投影梯度下降（Projected Gradient Descent, PGD）来优化生成对抗样本的目标函数，因此下文将称该方法为投影梯度下降优化方法。

继续阅读 →

对抗攻防新作之一：Synthesizing robust adversarial examples

在前人工作基础上，Athalye等将物理环境下的对抗样本进行了更加深入的研究（Athalye and Sutskever, 2017），探讨了2D、3D和物理世界3D这三种环境下的对抗样本的生成和有效性问题，该工作也是首次构建了能在各个视角下欺骗神经网络的现实世界3D物体。该工作提出一种通用的对抗样本生成方法，该方法生成的对抗样本在任何给定的分布下都表现出很强的鲁棒性。Athalye提出了变换期望算法（Expectation OverTransformation, EOT）这一框架，该框架用来产生在各种给定变换下都能保持对抗性的对抗样本。在标准的有目标白盒攻击情况下，对抗样本是通过最大化目标类别的似然得到的。

继续阅读 →

对抗攻防经典之三：On detecting adversarial perturbations

探测网络方法将直接通过神经网络来预测给定的样本是否是对抗样本，即把对抗样本的识别直接转化为端到端方式训练的二分类问题（Metzen et al., 2017）。探测网络方法在原本的神经网络（分类器）上扩展一个探测器子网络，该探测器的任务是判别样本是否来自真实数据。探测器的输出是一个范围为的标量，表示数据属于对抗样本的概率。探测器的设计和具体的数据集有关，采用的架构一般是卷积神经网络。

继续阅读 →

对抗攻防经典之二：Explaining and harnessing adversarial examples

本文提出一种经典的对抗样本生成方法——FGSM 算法。该算法（Goodfellow et al., 2014）是一种无目标攻击算法，通过在原有样本的基础上计算得到一个扰动，使得加上扰动后的样本被分类到错误的类别。为了方便地表示FGSM算法，定义扰动后的样本为 x’=x+r，其中 x 表示原样本， r 为扰动。显然，对于可区分的类别来讲，当满足||r||_∞ < e（e表示足够小的值），我们希望分类器将 x 和 x’ 识别为相同的类别。

继续阅读 →

对抗攻防经典之一：Intriguing properties of neural networks

深度神经网络是具有高度表达性的模型，在语音识别和计算机视觉上已经取得了很大的成就。虽然深度神经网络的高表达性是它取得成功的原因，但这也会导致它学习不可解释的解决方案，这些解决方案可能会具有违反直觉的特性。这项工作提出了两个这样的属性：

（1）首先，单个的高层神经网络单元与高层神经网络单元的随机线性组合没有区别。这表明，在神经网络的高层，语义信息是具有整体空间性的，而不仅仅是单个单元。
（2）其次，这项工作发现深度神经网络学习的输入与输出的映射在很大程度上不是连续的，也就是说神经网络学到的表征不是连续的。

继续阅读 →