Skip to main content
QUICK REVIEW

[论文解读] Combating Adversarial Attacks Using Sparse Representations.

Soorya Gopalakrishnan, Zhinus Marzi|arXiv (Cornell University)|Feb 12, 2018
Adversarial Robustness in Machine Learning被引用 1
一句话总结

本文提出了一种用于深度神经网络的稀疏化前端,显著降低了在 $ε$-有界 $–\infty$ 攻击下的对抗鲁棒性退化。通过稀疏表示输入,该方法在理论上将输出失真降低了 $K/N$ 倍,MNIST 上的实验验证了其在防御对抗样本方面的有效性。

ABSTRACT

It is by now well-known that small adversarial perturbations can induce classification errors in deep neural networks (DNNs). In this paper, we make the case that sparse representations of the input data are a crucial tool for combating such attacks. For classifiers, we show that a sparsifying front end is provably effective against $\ell_{\infty}$-bounded attacks, reducing output distortion due to the attack by a factor of roughly $K / N$ where $N$ is the data dimension and $K$ is the sparsity level. We then extend this concept to DNNs, showing that a locally linear model can be used to develop a theoretical foundation for crafting attacks and defenses. Experimental results for the MNIST dataset show the efficacy of the proposed sparsifying front end.

研究动机与目标

  • 解决深度神经网络对微小、难以察觉的对抗扰动的脆弱性问题。
  • 探究稀疏表示是否可作为对抗攻击的可证明鲁棒防御机制。
  • 构建一个理论框架,将稀疏性、局部线性性与深度神经网络的对抗鲁棒性联系起来。
  • 在 MNIST 等标准基准上对所提出的防御方法进行实证验证。

提出的方法

  • 引入一种稀疏化前端,通过学习或固定的基将输入数据投影到稀疏表示中。
  • 理论分析表明,对于 $–\infty$-有界攻击,输出失真可降低 $K/N$ 倍,其中 $K$ 为稀疏度,$N$ 为输入维度。
  • 利用局部线性模型来建模深度神经网络的行为,并推导出关于攻击与防御机制的见解。
  • 使用含过完备词典的稀疏编码对输入进行编码后再进行分类,从而增强鲁棒性。
  • 独立于分类器进行训练或应用稀疏化前端,实现模块化防御集成。

实验结果

研究问题

  • RQ1稀疏表示是否可可证明地降低 $–\infty$-有界对抗攻击对深度神经网络的影响?
  • RQ2输入表示中的稀疏性如何影响深度神经网络分类器的鲁棒性?
  • RQ3局部线性模型能否为理解对抗攻击与防御机制提供理论基础?
  • RQ4在对抗扰动下,使用稀疏化前端时输出失真的定量降低程度是多少?

主要发现

  • 稀疏化前端将 $–\infty$-有界攻击引起的输出失真降低了约 $K/N$ 倍,提供了可证明的鲁棒性增益。
  • 理论分析证实,输入表示中的稀疏性可使对抗扰动下的误差放大保持有界。
  • 该方法在 MNIST 上保持了高干净准确率,同时显著提升了对对抗样本的鲁棒性。
  • 实验结果表明,在 MNIST 上的多种对抗攻击设置下,性能均表现出一致性的提升。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。