鲁棒分类中的计算不对称
我们在最近的工作中(Bubeck,Price,Razenshteyn, arXiv:1805.10204)指出,机器学习中的对抗性例子可能是由于问题固有的计算难度造成的。更确切地说,我们构建了一个二元分类任务,其中(i)存在强大的鲁棒分类器;但在(ii)统计查询模型中无法使用有效算法获得任何非平凡的准确性。在本文中,我们显着加强了(i)和(ii):我们现在构建了一个任务,该任务允许(i')最大限度地鲁棒的分类器(即它可以容忍与示例本身大小相当的扰动);此外,我们证明了在(ii')标准加密假设下学习此任务的计算困难性。
Nov, 2018
本研究研究如何使分类器对抗性示例具有良好的鲁棒性,但事实上许多防御措施都更加致力于检测受到干扰的输入,作者针对这一目标展开了研究,他们证明了在检测与分类对抗性示例这一问题上存在的一般性困难约束,并阐明了这一结论的重要性和应用前景。
Jul, 2021
高维度分类器为何易受到 “对抗性” 扰动?本文中将阐述这种现象可能不是由于信息论的限制,而是由于计算约束所引起的。同时探讨了分类任务的一种特殊情况,即在高维空间中对于对抗扰动较大的学习是容易的,但是具有计算难度的。这种例子带来了对于经典学习和鲁棒性学习之间的计算复杂度的差异的新见解,并建议这种现象可能是学习算法计算能力所限制的必然副产品。
May, 2018
本文提出一种基于深度 ReLU 网络的攻击不可知的稳健性证书,用于多标签分类问题,通过利用 ReLU 网络的分段线性结构,提出了两个距离下界,分别为单纯形证书和决策边界证书,其中单纯形证书具有闭合形式,可微性和计算速度快的特点,并在 MNIST 数据集上验证其理论有效性。
Feb, 2019
本文研究了对抗攻击的鲁棒性理论,聚焦于随机化分类器并通过统计学习理论和信息论提供了其行为的彻底分析。我们引入了随机化分类器的新鲁棒性概念,在此基础上进行了两项新的贡献:提出了一种新的随机化分类器对抗泛化间隙的上界限和对其进行了一种简单而有效的噪声注入方法来设计鲁棒的随机化分类器。我们还在 CIFAR-10 和 CIFAR-100 标准图像数据集上使用深度神经网络的实验结果证实了我们的发现。
Feb, 2021
本文介绍了在安全关键应用中,对抗攻击对部署最先进的分类器构成重大威胁;总体上,经验证的防御方法虽然具有鲁棒性保证,但是实践中的对抗训练比较受欢迎。我们系统性地比较了这两种鲁棒性训练方法在多个计算机视觉任务中的标准错误和鲁棒错误,结果表明,在大多数任务和威胁模型下,采用凸松弛的认证训练比采用对抗训练更容易带来标准错误和鲁棒错误。此外,我们还探讨了认证和对抗训练之间的错误差距如何依赖于威胁模型和数据分布,并且除了扰动预算外,我们还确定了扰动集的形状和数据分布的隐式边缘等重要因素。本文在合成和图像数据集上进行了大量消融实验,证明我们的观点。
Jun, 2023
采用输入随机化生成的分类器的集合可以具有很强的鲁棒性,该方法可扩展到更广泛的分布,特别是在离散情况下保证敌对的鲁棒性,并给出了相应的算法,此外,该研究有助于通过假设分类器的函数类来提高保证,并且具有图像和分子数据集上的实际应用。
Jun, 2019
通过优化多项式优化问题的技术,我们设计了具有计算效率和可证明保证的鲁棒性算法,能够抵御测试时的对抗性干扰,特别地,针对线性分类器和二次多项式阈值函数(PTF)分类器,我们给出了其计算鲁棒性的代价的精确刻画,同时,我们还证明了用环境所提供的函数信息可以在有效时间内帮助生成对抗攻击样本,并证明这些攻击样本在实际数据上是有效的。
Nov, 2019