Skip to main content
QUICK REVIEW

[论文解读] Adversarial Examples for Non-Parametric Methods: Attacks, Defenses and Large Sample Limits.

Yao-Yuan Yang, Cyrus Rashtchian|arXiv (Cornell University)|Jun 7, 2019
Adversarial Robustness in Machine Learning被引用 10
一句话总结

本文提出对抗性剪枝(adversarial pruning),这是一种适用于非参数分类器(如k-NN、决策树和随机森林)的通用防御方法,通过预处理数据来增强类别可分性。该方法提出了一种适用于这些模型的新型攻击,并从理论上推导出一个最优鲁棒分类器,表明对抗性剪枝在有限样本下近似于这一理想分类器,其鲁棒性优于先前的方法。

ABSTRACT

Adversarially robust machine learning has received much recent attention. However, prior attacks and defenses for non-parametric classifiers have been developed in an ad-hoc or classifier-specific basis. In this work, we take a holistic look at adversarial examples for non-parametric classifiers, including nearest neighbors, decision trees, and random forests. We provide a general defense method, adversarial pruning, that works by preprocessing the dataset to become well-separated. To test our defense, we provide a novel attack that applies to a wide range of non-parametric classifiers. Theoretically, we derive an optimally robust classifier, which is analogous to the Bayes Optimal. We show that adversarial pruning can be viewed as a finite sample approximation to this optimal classifier. We empirically show that our defense and attack are either better than or competitive with prior work on non-parametric classifiers. Overall, our results provide a strong and broadly-applicable baseline for future work on robust non-parametrics. Code available at this https URL .

研究动机与目标

  • 为解决非参数分类器缺乏通用、基于原理的防御与攻击方法的问题,这些方法此前多以临时性或模型特定的方式开发。
  • 开发一种适用于多种非参数模型(包括k-最近邻、决策树和随机森林)的统一防御策略。
  • 通过理论分析,推导出非参数学习中对抗性扰动下的最优鲁棒分类器,建立类似于贝叶斯最优分类器的理论基准。
  • 通过实证验证,表明对抗性剪枝在非参数模型上的鲁棒性可与或优于先前工作。

提出的方法

  • 提出对抗性剪枝作为一种预处理防御方法,通过从训练数据中移除对抗性样本或扰动点来提升类别可分性。
  • 提出一种新型、通用的攻击方法,适用于广泛的非参数分类器,从而实现在不同模型间的一致性评估。
  • 通过理论分析,推导出非参数学习中一个最优鲁棒分类器,其作用类似于标准分类中的贝叶斯最优分类器。
  • 证明对抗性剪枝是理论上最优分类器在有限样本下的近似,从而在防御与理论之间建立有原则的联系。
  • 在标准非参数模型上进行实证评估,比较在新攻击下与先前方法的鲁棒性。

实验结果

研究问题

  • RQ1能否为非参数分类器开发一种不依赖于特定模型架构的通用防御方法?
  • RQ2对抗性剪枝在k-NN、决策树和随机森林上的鲁棒性与先前防御方法相比如何?
  • RQ3在对抗性扰动下,理论上最优的非参数分类器是什么?它在实践中如何近似?
  • RQ4所提出的攻击在不同非参数模型之间具有多大程度的泛化能力?
  • RQ5对抗性剪枝在多大程度上可被解释为对最优鲁棒分类器的有限样本近似?

主要发现

  • 对抗性剪枝显著提升了k-NN、决策树和随机森林对对抗性样本的鲁棒性。
  • 所提出的攻击在多种非参数模型间有效泛化,实现了对防御方法的一致性评估。
  • 理论上推导出的最优分类器为非参数学习中的对抗性鲁棒性提供了基准。
  • 实证结果表明,对抗性剪枝在非参数模型上的鲁棒性可与或优于先前的防御方法。
  • 该防御方法被验证为理论上最优分类器的有限样本近似,为其有效性提供了理论依据。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。