面向神经网络的启发式防御和鲁棒性验证技术研究

发布时间:2022-10-20 13:26
  对于深度神经网络来说,有一个非常有趣的特性就是它们容易受到对抗样本的攻击——攻击者恶意生成的可以造成目标深度神经网络误分类的输入。为了防止对抗样本所带来的威胁,研究者提出了许多启发式防御方法,然而这些启发式防御方法很容易被更强的适应性攻击者攻破。为了结束攻击者与防御者之间漫长的军备竞赛,研究者又就验证模型鲁棒性的相关技术作出了很大的努力,确保对于给定的输入,保证邻近空间不存在任何对抗样本。然而,之前的研究工作集中在以输入样本为中心的对称的邻近空间(具体来说,以输入为中心的超矩形),而忽略了对抗扰动方向的固有的异质性(例如,输入更容易受到某个扰动方向的影响)。在本文中,首先提出一种启发式防御框架DeT,它可以1)防御常见攻击方法所生成的对抗样本;2)在较大对抗干扰下依然能将对抗样本正确分类。De T是一种基于迁移性的防御方法,而且据我们所知是第一种这样的尝试。我们的实验结果表明De T在黑盒攻击与灰盒攻击都能取得很好的防御效果。为了缩小对称鲁棒空间与真实鲁棒空间之间的差距,进一步,我们提出了非对称鲁棒性边界的概念,它考虑了扰动方向的异质性,并提出了一个称为变形虫1的框架。该框架可以验证给... 

【文章页数】:70 页

【学位级别】:硕士

【文章目录】:
摘要
Abstract
第1章 绪论
    1.1 课题背景与意义
    1.2 研究现状和趋势
        1.2.1 对抗攻击
        1.2.2 对抗防御
        1.2.3 可证明的验证神经网络的防御方法
    1.3 本文的主要工作
    1.4 本文的文章结构
    1.5 本章小结
第2章 基于迁移性的启发式防御
    2.1 防御方案概述
    2.2 防御方法技术细节
        2.2.1 初步去噪
        2.2.2 随机抽样
        2.2.3 二次去噪
        2.2.4 预测投票
    2.3 防御评估
        2.3.1 威胁模型
        2.3.2 实验准备
        2.3.3 交叉训练的有效性
        2.3.4 针对黑盒攻击的实验评估
        2.3.5 针对灰盒攻击的实验评估
        2.3.6 与其他防御方法的性能比较
    2.4 本章小结
第3章 非对称鲁棒性验证框架
    3.1 框架概述
    3.2 框架方法
        3.2.1 形式化
        3.2.2 松弛
        3.2.3 优化求解
    3.3 框架评估
        3.3.1 威胁模型
        3.3.2 实验准备
        3.3.3 性能评估
        3.3.4 可视化
        3.3.5 鲁棒空间与通用对抗干扰之间的关联
    3.4 本章小结
第4章 非对称鲁棒边界的应用
    4.1 应用概述
    4.2 提升现有算法的攻击
    4.3 解释深度神经网络模型的预测机制
    4.4 探索对抗样本的迁移性
    4.5 本章小结
第5章 总结与展望
    5.1 本文总结
    5.2 未来展望
参考文献
攻读硕士学位期间主要的研究成果
致谢



本文编号:3694601

资料下载
论文发表

本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/3694601.html


Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户2bc64***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com