Certified Adversarial Robustness Within Multiple Perturbation Bounds

解决问题:本论文旨在提高对多个扰动边界的认证对抗鲁棒性,通过提出一种新的认证方案和训练噪声分布以及正则化训练方法,同时在L1和L2扰动范数下实现认证。

关键思路:本文的关键思路是提出一种新的认证方案,将使用不同噪声分布获得的证书有效地结合起来,以获得针对多个扰动边界的最佳结果。同时,提出了一种新的训练噪声分布和正则化训练方案以提高认证效果。相比于当前领域的研究,本文的思路在于提高对多个扰动边界的认证对抗鲁棒性,以及通过比较不同训练算法的认证鲁棒性来提高自然准确性。

其他亮点:本文使用了MNIST和CIFAR-10数据集进行实验,实验结果表明,所提出的方法可以在L1和L2扰动范数下显著提高认证半径。该论文没有提供开源代码。本文的工作值得进一步研究,以提高对更多扰动边界的认证对抗鲁棒性。

关于作者:Soumalya Nandi, Sravanti Addepalli, Harsh Rangwani和R. Venkatesh Babu是本文的主要作者,他们分别来自印度理工学院和印度班加罗尔印度科学研究所。他们的代表作包括:Soumalya Nandi在CVPR 2021上发表了题为“Learning to Learn from Noisy Labels with Robust Teacher”的论文;Sravanti Addepalli在CVPR 2020上发表了题为“Learning to Learn from Weak Supervision by Full Supervision”的论文;Harsh Rangwani在ICML 2020上发表了题为“On the Power of Curriculum Learning in Training Deep Networks”的论文;R. Venkatesh Babu在CVPR 2019上发表了题为“Learning to Learn Image Classifiers with Limited Data”的论文。

相关研究:近期的相关研究包括:1. “Fast and Certified Robustness for Deep ReLU Networks” by J. Bullins, S. Gowal, K. Ali, J. Ullman, P. Madhusudan and D. Jacobs (ICLR 2021);2. “Certified Robustness to Adversarial Examples with Differential Privacy” by Y. Wang, J. Li, S. Wang and X. Liu (ICLR 2021);3. “Certified Adversarial Robustness via Randomized Smoothing with Provable Guarantees” by J. Cohen, E. Rosenfeld and J. Z. Kolter (ICLR 2019)。

论文摘要:这篇文章介绍了一种新的方法来提高对多种扰动边界的认证对抗强度。随机平滑(RS)是一种众所周知的对抗性攻击认证防御方法,它通过在推理过程中对输入进行随机噪声扰动并预测最可能的类别来创建平滑分类器。虽然最初的工作集中在使用从高斯分布中采样的噪声对$\ell2$范数扰动的鲁棒性上,但随后的工作表明,不同的噪声分布也可以导致对其他$\ellp$范数边界的鲁棒性。一般来说,特定的噪声分布对于防御给定的$\ellp$范数攻击是最优的。本文旨在同时提高对多个扰动边界的认证对抗强度。为此,首先提出了一种新颖的认证方案,它有效地结合了使用不同噪声分布获得的证书,以获得针对多个扰动边界的最佳结果。我们进一步提出了一种新的训练噪声分布以及一种正则化训练方案,以同时提高$\ell1$和$\ell2$扰动范数的认证。与以前的工作相反,我们比较了不同训练算法的认证鲁棒性,而不是比较固定的用于训练和认证的噪声水平。我们还在实证上证明了使用相同数量的噪声训练和认证分类器并不总是能够获得最佳结果的观点是无效的。该方法在$\ell1$和$\ell_2$扰动边界上的ACR(平均认证半径)指标上取得了改进。

内容中包含的图片若涉及版权问题,请及时与我们联系删除