對于深度神經(jīng)網(wǎng)絡來說,有一個非常有趣的特性就是它們?nèi)菀资艿綄箻颖镜墓簟粽邜阂馍傻目梢栽斐赡繕松疃壬窠?jīng)網(wǎng)絡誤分類的輸入。為了防止對抗樣本所帶來的威脅,研究者提出了許多啟發(fā)式防御方法,然而這些啟發(fā)式防御方法很容易被更強的適應性攻擊者攻破。為了結(jié)束攻擊者與防御者之間漫長的軍備競賽,研究者又就驗證模型魯棒性的相關技術作出了很大的努力,確保對于給定的輸入,保證鄰近空間不存在任何對抗樣本。然而,之前的研究工作集中在以輸入樣本為中心的對稱的鄰近空間（具體來說,以輸入為中心的超矩形）,而忽略了對抗擾動方向的固有的異質(zhì)性（例如,輸入更容易受到某個擾動方向的影響）。在本文中,首先提出一種啟發(fā)式防御框架DeT,它可以1)防御常見攻擊方法所生成的對抗樣本;2)在較大對抗干擾下依然能將對抗樣本正確分類。De T是一種基于遷移性的防御方法,而且據(jù)我們所知是第一種這樣的嘗試。我們的實驗結(jié)果表明De T在黑盒攻擊與灰盒攻擊都能取得很好的防御效果。為了縮小對稱魯棒空間與真實魯棒空間之間的差距,進一步,我們提出了非對稱魯棒性邊界的概念,它考慮了擾動方向的異質(zhì)性,并提出了一個稱為變形蟲1的框架。該框架可以驗證給... 

【文章頁數(shù)】：70 頁

【學位級別】：碩士

【文章目錄】：
摘要
Abstract
第1章 緒論
    1.1 課題背景與意義
    1.2 研究現(xiàn)狀和趨勢
        1.2.1 對抗攻擊
        1.2.2 對抗防御
        1.2.3 可證明的驗證神經(jīng)網(wǎng)絡的防御方法
    1.3 本文的主要工作
    1.4 本文的文章結(jié)構(gòu)
    1.5 本章小結(jié)
第2章 基于遷移性的啟發(fā)式防御
    2.1 防御方案概述
    2.2 防御方法技術細節(jié)
        2.2.1 初步去噪
        2.2.2 隨機抽樣
        2.2.3 二次去噪
        2.2.4 預測投票
    2.3 防御評估
        2.3.1 威脅模型
        2.3.2 實驗準備
        2.3.3 交叉訓練的有效性
        2.3.4 針對黑盒攻擊的實驗評估
        2.3.5 針對灰盒攻擊的實驗評估
        2.3.6 與其他防御方法的性能比較
    2.4 本章小結(jié)
第3章 非對稱魯棒性驗證框架
    3.1 框架概述
    3.2 框架方法
        3.2.1 形式化
        3.2.2 松弛
        3.2.3 優(yōu)化求解
    3.3 框架評估
        3.3.1 威脅模型
        3.3.2 實驗準備
        3.3.3 性能評估
        3.3.4 可視化
        3.3.5 魯棒空間與通用對抗干擾之間的關聯(lián)
    3.4 本章小結(jié)
第4章 非對稱魯棒邊界的應用
    4.1 應用概述
    4.2 提升現(xiàn)有算法的攻擊
    4.3 解釋深度神經(jīng)網(wǎng)絡模型的預測機制
    4.4 探索對抗樣本的遷移性
    4.5 本章小結(jié)
第5章 總結(jié)與展望
    5.1 本文總結(jié)
    5.2 未來展望
參考文獻
攻讀碩士學位期間主要的研究成果
致謝



本文編號：3694601