×
阿尔胡塞因·法齐;奥马尔·法齐;帕斯卡·弗罗萨德

分类器对对抗扰动的鲁棒性分析。 (英语) Zbl 1462.62383号

机器。学习。 107,第3期,481-508(2018).
摘要:本文的目标是分析分类器对对抗扰动的有趣不稳定性[C.塞格迪等,“神经网络的有趣特性”,arXiv:1312.6199]. 我们提供了一个理论框架来分析分类器对对抗扰动的鲁棒性,并给出了分类器鲁棒性的基本上界。具体来说,我们建立了分类器对对抗扰动鲁棒性的一般上界,然后说明了在两类实用分类器上所获得的上界,即线性分类器和二次分类器。在这两种情况下,我们的上限取决于可区分性捕获以下概念的度量困难分类任务的。我们对这两个类的结果表明,在涉及小区分性的任务中,无分类器在所考虑的集合中,即使达到了良好的精度,也将对对抗扰动具有鲁棒性。我们的理论框架此外,与分类任务的难度(通过可区分性度量从数学上捕获)相比,对抗性不稳定性的现象是由于分类器的灵活性较低。我们进一步证明了分类器对随机噪声的鲁棒性与其对对抗扰动的鲁棒性之间存在明显区别。具体而言,对于线性分类器,前者比后者大一个与\(\sqrt{d}\)成比例的因子(其中\(d\)是信号维度)。这一结果从理论上解释了高维问题中两个鲁棒性特性之间的差异,Szegedy等人[loc.cit.]在神经网络的背景下进行了实证观察。最后,我们展示了控制数据和真实数据的实验结果,证实了理论分析,并将其精神扩展到更复杂的分类方案。

引用于15文件

MSC公司:

62H30型 分类和区分;聚类分析(统计方面)
62M45型 神经网络及从随机过程推断的相关方法
62G35型 非参数稳健性

关键词:

对抗性示例;分类稳健性;随机噪声;不稳定性;深层网络

软件:

LIBLINEAR银行;伦敦银行支持向量机;CIFAR公司;SIFT公司;深度愚人
PDF格式BibTeX公司 XML格式引用
\textit{A.Fawzi}等人,马赫。学习。107,第3号,481--508(2018;Zbl 1462.62383)
全文: 内政部 arXiv公司

参考文献:

[1] Barreno,M.、Nelson,B.、Sears,R.、Joseph,A.和Tygar,D.(2006年)。机器学习是否安全?ACM信息、计算机和通信安全专题讨论会(第16-25页)。
[2] Bendale,A.和Boult,T.E.(2016年)。走向开放式深层网络。IEEE计算机视觉和模式识别会议记录(第1563-1572页)。
[3] Bhatia,R.(2013)。矩阵分析(第169卷)。柏林:斯普林格·Zbl 0863.15001号
[4] Biggio,B.、Corona,I.、Maiorca,D.、Nelson,B.、Šrndić,N.、Laskov,P.等人(2013年)。测试时对机器学习的规避攻击。关于数据库中机器学习和知识发现的欧洲联合会议(第387-402页)。柏林:斯普林格。
[5] Biggio,B.、Nelson,B.和Laskov,P.(2012年)。针对支持向量机的毒药攻击。机器学习国际会议.
[6] 布斯克,O;Elisseeff,A,稳定性和泛化,机器学习研究杂志,2499-526,(2002)·Zbl 1007.68083号
[7] Caramanis,C;方式,S;徐,H;Sra,S(编辑);Nowozin,S(编辑);Wright,SJ(编辑),机器学习中的稳健优化,(2012),剑桥
[8] Carlini,N.和Wagner,D.(2016)。评估神经网络的鲁棒性.arXiv预打印arXiv:1608.04644。
[9] Chalupka,K.、Perona,P.和Eberhardt,F.(2014)。视觉因果特征学习.arXiv预打印arXiv:1412.2309。
[10] Chang,CC;Lin,CJ,LIBSVM:支持向量机库,ACM智能系统与技术汇刊,2,27:1-27:27,(2011)·数字对象标识代码:10.1145/1961189.1961199
[11] Chang,YW;谢长杰;Chang,千瓦;林加德,M;Lin,CJ,通过线性SVM训练和测试低阶多项式数据映射,机器学习研究杂志,11,1471-1490,(2010)·Zbl 1242.68210号
[12] Dalvi,N.、Domingos,P.、Sanghai,S.和Verma,D.(2004)。对手分类。ACM SIGKDD公司(第99-108页)·Zbl 0802.62062号
[13] 德克尔,O;奥沙米尔;肖,L,学习用缺失和损坏的特征进行分类,机器学习,81,149-178,(2010)·Zbl 1470.68095号 ·doi:10.1007/s10994-009-5124-8
[14] 风机,RW;Chang,千瓦;谢长杰;王,XR;Lin,CJ,Liblinear:大型线性分类库,机器学习研究杂志,91871-1874,(2008)·Zbl 1225.68175号
[15] Fawzi,A.和Frossard,P.(2015)Manitest:分类器真的是不变的吗?英国机器视觉会议(BMVC)(第106.1-106.13页)。
[16] Goldberg,Y.和Elhadad,M.(2008)。splitsvm:用于nlp应用程序的快速、节省空间、非启发式的多项式核计算。人类语言技术计算语言学协会第46届年会:短文(第237-240页)。
[17] Goodfellow,I.(2015)。对抗性例子. 网址:http://www.iro.umontreal.ca/memisevr/dlss2015/goodfellow_adv.pdf,蒙特利尔深度学习暑期学校演讲·Zbl 1084.68657号
[18] Goodfellow,I.、Shlens,J.和Szegedy,C.(2015)。解释和利用对抗性示例。学习表现国际会议.
[19] Gu,S.和Rigazio,L.(2014年)。面向抗对抗示例的深层神经网络体系结构.arXiv预打印arXiv:1412.5068。
[20] Krizhevsky,A.和Hinton,G.(2009年)。从微小图像中学习多层特征多伦多大学计算机科学系硕士论文。
[21] 《柳叶刀》,G;Ghaoui,L;巴塔查里亚,C;Jordan,M,《稳健的极小极大分类法》,《机器学习研究杂志》,第3555-582页,(2003年)·Zbl 1084.68657号
[22] LeCun,Y;博图,L;本吉奥,Y;Haffner,P,《基于梯度的学习应用于文档识别》,IEEE会议记录,862278-2324,(1998)·数字对象标识代码:10.1109/5.726791
[23] Lewis,A.和Pang,J.(1998年)。凸不等式系统的误差界。在J.-P.Crouzeix、J.-E.Martinez-Legaz和M.Volle(编辑)中,广义凸性,广义单调性:最新结果(第75-110页)。柏林:斯普林格·Zbl 0953.90048号
[24] Li,G.、Mordukhovich,B.S.和Pham,T.S.(2015)。多项式系统的新分数误差界及其在最优化和张量谱理论中的Hölderian稳定性中的应用。数学规划,153(2), 333-362. ·Zbl 1327.90237号
[25] Łojasiewicz,S.(1961年)。部门问题解决(完成)·Zbl 0096.32102号
[26] Lowe,D,《从尺度不变的关键点获得的独特图像特征》,《国际计算机视觉杂志》,60,91-110,(2004)·doi:10.1023/B:VISI.0000029664.99615.94
[27] 卢戈西,G;Pawlak,M,关于非参数分类规则错误率的后验概率估计,IEEE信息理论汇刊,40,475-481,(1994)·Zbl 0802.62062号 ·数字对象标识代码:10.1109/18.312167
[28] 罗,X;罗,Z,霍夫曼误差界对多项式系统的推广,SIAM优化杂志,4,383-392,(1994)·Zbl 0821.90113号 ·doi:10.1137/0804021
[29] 罗,ZQ;Pang,JS,分析系统及其应用的误差界,数学规划,67,1-28,(1994)·Zbl 0813.90116号 ·doi:10.1007/BF01582210
[30] Matoušek,J.(2002年)。离散几何讲座(第108卷)。纽约:斯普林格·Zbl 0999.52006号 ·doi:10.1007/978-1-4613-0039-7
[31] Moosavi-Dezfuli,S.M.、Fawzi,A.和Frossard,P.(2016)。深度愚弄:愚弄深度神经网络的简单而准确的方法。IEEE计算机视觉和模式识别会议(CVPR).
[32] Ng、K;郑,X,约束二次函数和分段仿射不等式系统的误差界,优化理论与应用杂志,118601-618,(2003)·Zbl 1061.90110号 ·doi:10.1023/B:JOTA.0000004873.30548.ca
[33] Nguyen,A.、Yosinski,J.和Clune,J.(2014)。深度神经网络很容易被愚弄:对不可识别图像的高置信度预测.arXiv预打印arXiv:1412.1897。
[34] 庞,J,数学规划中的误差界限,数学规划,79,299-332,(1997)·Zbl 0887.90165号
[35] Simonyan,K.和Zisserman,A.(2014)。用于大规模图像识别的超深卷积网络.arXiv预打印arXiv:1409.1556。
[36] Srndic,N.和Laskov,P.(2014)。基于学习分类器的实际回避:案例研究。IEEE安全与隐私研讨会(第197-211页)。电气与电子工程师协会。
[37] Szegedy,C.、Zaremba,W.、Sutskever,I.、Bruna,J.、Erhan,D.、Goodfellow,I.等人(2014)。神经网络的有趣特性。学习代表国际会议.
[38] 徐,H;卡拉马尼斯,C;Mannor,S,支持向量机的鲁棒性和正则化,机器学习研究杂志,101485-1510,(2009)·Zbl 1235.68209号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。