MACER: 通过最大化认证半径实现免攻击和可扩展的强健训练
本研究发现了一种对具有证明鲁棒性的分类器构成威胁的数据污染攻击,并提出了一种新型双层优化数据污染攻击,可降低其整个目标类别的平均有保障半径(ACR),以及降低 30%以上的目标类别平均有保障半径(ACR)
Dec, 2020
对随机平滑技术进行了改进以提高鲁棒性,包括引入新的训练方法和后处理方法,结果显示这些方法可以提高随机平滑分类器的鲁棒性性能和训练效率,并对基于模型集成的方法进行了理论分析。
Oct, 2023
在此研究中,我们提出了一种基于自适应认证半径训练的新方法,旨在在保持高标准准确性的同时,提高模型的鲁棒性和准确性,从而推进现有准确性与鲁棒性的权衡。我们在 MNIST、CIFAR-10 和 TinyImageNet 数据集上验证了该方法的有效性,尤其在 CIFAR-10 和 TinyImageNet 上,与基准方法相比,我们的方法在相同标准准确性水平下能够提供高达两倍的鲁棒性。
Jul, 2023
深度神经网络的现实应用受到噪声输入和对抗性攻击时的预测不稳定性的限制。本文介绍了一种基于随机平滑的框架,通过将噪声注入输入来获得平滑且更加鲁棒的分类器,并引入了一种不同的简单投影技术来增加认证半径,利用 Lipschitz 常数和边界的权衡。实验结果表明,与当前最先进的方法相比,我们的新型认证过程在认证准确性上取得了显著提高,有效改善了当前的认证半径。
Sep, 2023
本文探讨了通过直接传播平滑分类器中的协方差矩阵来缓解蒙特卡罗采样的瓶颈问题,提出了一种可以最大化神经网络认证半径的算法,并在实验中评估了该算法的优缺点。
Apr, 2021
本文提出使用对抗训练来提高基于随机平滑的分类器的效果,并设计一种适应平滑分类器的攻击方法,通过大量实验,得出这种方法在 ImageNet 和 CIFAR-10 上的性能显著胜过所有现有的可证明的 L2 - 强健分类器,证明了这种方法是可靠的,且半监督学习和预训练能够进一步提高其效果。
Jun, 2019
我们研究了在成本敏感场景中学习对抗鲁棒分类器的问题,通过一个二进制成本矩阵编码不同分类的敌对转换的潜在危害。我们提出了一种能够为任意成本矩阵提供严密鲁棒性保证的改进版随机平滑认证方法,并使用针对不同数据子组的细粒度认证半径优化方案,提出了一种优化成本敏感鲁棒性的平滑分类器训练算法。我们在图像基准测试和现实世界医学数据集上的大量实验证明了我们方法在实现显著改善认证成本敏感鲁棒性性能的同时,对整体准确性的影响可以忽略不计。
Oct, 2023
本研究提出了一种针对补丁攻击的可验证防御机制,通过将可执行文件划分为非重叠的块,并采用多数投票的方式计算最终预测结果,从而最小化注入内容的影响。此外,引入了预处理步骤,将部分和标头的大小固定为块大小的倍数,从而确保恶意内容仅存在于整数个块中,同时保证对内容插入攻击具有认证的鲁棒性保证。经过广泛的消融研究,结果表明我们的方法在强攻击下展现出无与伦比的鲁棒性,优于文献中基于随机平滑的防御方法。
May, 2024
本文提出了基于已认证半径的白盒攻击框架和基于带有反馈的黑盒攻击框架,用于攻击现代图像分割模型。通过使用像素的已认证半径来设计认证半径引导的损失,我们证明了我们的攻击框架的有效性和鲁棒性。
Apr, 2023
本文介绍了一种新方法,即通过自适应实现认证,将经过对抗训练的模型转化为随机平滑分类器,在推理过程中提供 l2 范数的认证鲁棒性,同时不影响它们对抗攻击的经验鲁棒性。
Feb, 2021