AMiner平台由清华大学计算机系研发,拥有我国完全自主知识产权。平台包含了超过2.3亿学术论文/专利和1.36亿学者的科技图谱,提供学者评价、专家发现、智能指派、学术地图等科技情报专业化服务。系统2006年上线,吸引了全球220个国家/地区1000多万独立IP访问,数据下载量230万次,年度访问量超过1100万,成为学术搜索和社会网络挖掘研究的重要数据和实验平台。
近年来,对抗攻击(adversarial attack)的研究越来越多,目前人工智能和机器学习技术被广泛应用在人机交互,推荐系统,安全防护等各个领域。具体场景包括语音,图像识别,信用评估,防止欺诈,过滤恶意邮件,抵抗恶意代码攻击,网络攻击等等。攻击者也试图通过各种手段绕过,或直接对机器学习模型进行攻击达到对抗目的。
特别是在人机交互这一环节,随着语音、图像作为新兴的人机输入手段,其便捷和实用性被大众所欢迎。同时随着移动设备的普及,以及移动设备对这些新兴的输入手段的集成,使得这项技术被大多数人所亲身体验。
而语音、图像的识别的准确性对机器理解并执行用户指令的有效性至关重要。与此同时,这一环节也是最容易被攻击者利用,通过对数据源的细微修改,达到用户感知不到,而机器接受了该数据后做出错误的后续操作的目的,由此足以见得对抗攻击研究的重要性
根据AMiner-NeurIPS 2020词云图和论文可以看出,与adversarial attack是在本次会议中的热点,下面我们一起看看adversarial attack主题的相关论文。
1.论文名称:Dual Manifold Adversarial Robustness: Defense against Lp and non-Lp Adversarial Attacks
论文链接:https://www.aminer.cn/pub/5f574ed891e011f4c3d5da46?conf=neurips2020
简介:对抗训练是针对具有有限Lp准则的攻击威胁模型的流行防御策略。但是,它通常会降低正常图像上的模型性能,并且防御不能很好地推广到新型攻击。考虑到诸如GAN和VAE之类的深度生成模型在表征图像的基础流形方面取得了成功,我们研究了是否可以通过利用基础流形信息来解决上述问题。为此,我们将ImageNet样本投影到由StyleGSN学习的流形上,从而构建了一个“多面体ImageNet”(OM-ImageNet)数据集。对于此数据集,基础流形信息是准确的。我们首先使用OM-ImageNet展示了图像潜在空间中的对抗训练可以提高标准准确性和对流形攻击的鲁棒性。但是,由于没有实现流形之外的扰动,因此可以通过Lp对抗攻击来破坏防御。我们进一步提出了双重流形对抗训练(DMAT),其中在潜伏和图像空间中的对抗扰动被用于使模型稳健。我们的DMAT可以提高正常图像的性能,并具有与针对Lp攻击的标准对抗训练相当的鲁棒性。此外,我们观察到,由DMAT防御的模型针对通过全局颜色偏移或各种类型的图像过滤处理图像的新型攻击,具有更高的鲁棒性。有趣的是,在非流形自然图像上测试防御模型时,也可以实现类似的改进。这些结果证明了使用多种信息来增强深度学习模型对各种新型对抗攻击的鲁棒性的潜在好处。
2.论文名称:A Game Theoretic Analysis of Additive Adversarial Attacks and Defenses
论文链接:https://www.aminer.cn/pub/5f60a5f591e0113805870314?conf=neurips2020
简介:对抗性学习的研究是在攻击者和防御者之间进行猫捉老鼠的游戏之后,提出了攻击,并通过新的防御措施减轻了攻击力,随后提出了新的攻击方法,打破了先前的防御措施,依此类推。 但是,对于是否存在不能提出更好的攻击或防御措施的条件,目前尚不清楚。 在本文中,我们提出了一个博弈论框架来研究均衡存在的攻击和防御。 在基础二进制分类器的局部线性决策边界模型下,我们证明了快速梯度法攻击和随机平滑防御形成了纳什均衡。 然后,我们说明如何从数据生成分布中给定有限个样本,从而近似估算这种均衡防御,并为我们的近似性能得出一个推广界。
3.论文名称:AdvFlow: Inconspicuous Black-box Adversarial Attacks using Normalizing Flows
论文链接:https://www.aminer.cn/pub/5f10204d91e01168a7d6fc08?conf=neurips2020
简介:深度学习分类器容易遭受精心设计的,难以察觉的输入变化,即对抗攻击。 在这方面,对强大攻击模型的研究揭示了这些分类器中的脆弱性来源,希望能带来更强大的分类器。 在本文中,我们介绍了AdvFlow:一种针对图像分类器的新型黑匣子对抗攻击方法,该方法利用归一化流的功能对给定目标图像周围的对抗示例进行密度建模。 我们看到,所提出的方法会生成与干净数据分发密切相关的对手,该属性使发现它们的可能性降低。 同样,我们的实验结果表明,该方法与防御分类器上的某些现有攻击方法相比具有竞争优势,在查询数量和攻击成功率方面均胜过它们。
4.论文名称:Robustness of Bayesian Neural Networks to Gradient-Based Adversarial Attacks
论文链接:https://www.aminer.cn/pub/5f7fdd328de39f0828397adb?conf=neurips2020
简介:对抗攻击的脆弱性是在安全关键型应用中采用深度学习的主要障碍之一。 尽管在实践和理论上做出了巨大努力,但问题仍然悬而未决。 在本文中,我们分析了贝叶斯神经网络(BNN)的大数据,超参数化限制中的对抗攻击的几何形状。 我们表明,在极限情况下,由于数据分布的退化(即当数据位于环境空间的低维子流形上)而导致了基于梯度攻击的脆弱性。 作为直接的结果,我们证明了在极限情况下,BNN后代对于基于梯度的对抗攻击具有鲁棒性。 用汉密尔顿蒙特卡洛和变异推理训练的BNN在MNIST和Fashion MNIST数据集上的实验结果支持这一论点,表明BNN可以显示出高精确度和对基于梯度的对抗攻击的鲁棒性。
5.论文名称:Adversarial Attack on Graph Neural Networks with Limited Node Access
论文链接:https://www.aminer.cn/pub/5f7fdd328de39f08283979ac?conf=neurips2020
简介:我们研究了在新颖且现实的约束下对图神经网络(GNN)的黑盒攻击:攻击者只能访问网络中的一部分节点,并且只能攻击少量节点。在此设置下,节点选择步骤至关重要。我们证明,GNN模型的结构归纳偏差可以成为此类攻击的有效来源。具体来说,通过利用GNN的向后传播与随机游走之间的联系,我们表明,基于梯度的常见白盒攻击可以通过梯度和与PageRank类似的重要性得分之间的联系而推广到黑盒设置。在实践中,我们发现基于此重要性得分的攻击确实在很大程度上增加了分类损失,但是它们却无法显着提高误分类率。我们的理论和经验分析表明,损失和误分类率之间存在差异,因为当受攻击的节点数增加时,后者会呈现递减的回报模式。因此,我们提出了一种贪婪程序来校正考虑到收益递减模式的重要性得分。实验结果表明,该方法可以显着提高普通GNN在真实数据上的误分类率,而无需访问模型参数或预测。
根据主题分类查看更多论文,扫码进入NeurIPS2020会议专题,最前沿的研究方向和最全面的论文数据等你来~
扫码了解更多NeurIPS2020会议信息
添加“小脉”微信,留言“NeurIPS”,即可加入【NeurIPS会议交流群】,与更多论文作者学习交流!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
