Towards Improved Testing for Deep Learning [ICSE 2019]——阅读笔记

最新推荐文章于 2022-04-06 10:56:34 发布
最新推荐文章于 2022-04-06 10:56:34 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: 论文笔记 文章标签: Deep Learning 深度学习 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChapterZ/article/details/96116870
版权
本文探讨了深度神经网络(DNN)在安全关键领域的应用及测试的重要性。针对DNN的特性,文章介绍了现有的黑盒和白盒测试方法,并讨论了它们的局限性。作者提出了一种新的测试标准,旨在更全面地覆盖DNN的内部逻辑。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

笔记结构

Towards Improved Testing for Deep Learning [ICSE 2019]–阅读笔记

经过一学期高可信软件技术的课程学习,我对软件测试和修复的相关理论知识和技术都有了基础性的了解。一直以为测试和修复只能应用于“传统”的代码,而在阅读这篇论文之后才认识到,如今热门的神经网络也可以进行测试。除了直观的、可以很容易理解的黑盒测试,前沿研究中还有基于逻辑覆盖等方法的白盒测试。这篇论文中提出的一个测试准则就是基于逻辑覆盖的原则。

接下来让我们带着几个问题出发,一起来了解这篇论文的主要内容。
论文链接:Towards Improved Testing for Deep Learning [ICSE 2019]

一、为什么需要对神经网络进行测试?

随着硬件设备的迅速发展和大数据的热门使用,深度神经网络(简称DNN)迅猛发展,越来越多的领域都注意到了其优越的性能并将其引进。例如自动驾驶、医疗诊断、安全等安全关键领域也与DNN的结合越来越紧密。但此类应用程序的安全性至关重要,因此在部署之前必须要充分衡量其安全性。需要从现有技术方面思考如何对这些DNN进行充分的测试。

二、目前的测试技术可以直接用于神经网络吗?为什么?

在传统软件程序中,程序逻辑必须由程序员手动描述。于此不同的是,DNN是通过对大型数据集的训练来学习决策策略。DNN是在输入层和输出层之间具有多个隐层的神经网络,它没有一个清晰的控制流结构,通常使用各种方法逐步调整参数,以达到预期的精度。

如下图所示,传统的软件测试方法无法直接应用于DNN领域,因为DNN的代码不包含其内部决策逻辑的信息。因此,传统的覆盖准则如代码覆盖、分支覆盖、功能覆盖等也不能应用于DNN。
在这里插入图片描述

三、相关的DNN测试方法和标准都有哪些?

1. 黑盒测试

之前的DNN测试方法通常采用黑盒测试方法,例如Nina Narodytska和Shiva Prasad Kasiviswanathan提出的规则是:在给定正确输入的附近寻找关键信息,具体而言就是随机搜索哪些修改会导致分类错误。然而,这些黑盒测试方法不仅缺乏覆盖标准,也忽略了DNN的内部逻辑。

2. 白盒测试

直到最近,有人提出了用于DNN的白盒测试方法。例如DeepXplore,DeepCover,DeepMutation和DeepCT等。现有测试方法的输出通常要么是对系统正确性的度量,要么是对比值的度量。例如在DeepXplore中,作者引入了神经元覆盖率的概念作为测试DNN的覆盖率指标。

下图显示了目前大多数现有的DNN白盒测试方法的高级表示。测试过程的输入是DNN、测试输入和覆盖率度量,主要用于确保程序逻辑的所有部分都经过了测试。而oracle(基本事实)决定DNN的行为对于测试的输入是否正确。除了这些以外,还可以使用指导测试输入生成方法来生成具有更大覆盖率的测试输入,同时可以发现更接近边角的实例。
在这里插入图片描述

四、目前的这些对DNN测试的方法或标准有什么局限性?有什么可以改进的地方?

作者从三个方面来阐述了目前DNN的测试标准还存在一些问题,并且根据这些问题提出一些可以改进的工作。

1. 覆盖标准方面

类似于传统软件程序的覆盖标准中的代码覆盖率和分支覆盖率,DNN的任何覆盖标准必须要能够保证完整性。也就是说,DNN的覆盖标准必须能够确保DNN的内部决策结构的所有部分已经由至少一个测试输入来执行。

  1. DeepXplore的局限性:
    典型的前馈深度神经网络包含多个非线性处理层,每个隐含层使用前一个隐含层的输出作为其输入。神经元的状态表示为激活或未激活。
    神经元覆盖根据输入激活的神经元数量衡量测试输入所使用的DNN逻辑部分。但是,它无法完全解释DNN可能出现的所有行为。 有实验能够证明神经元覆盖相当容易实现:25个随机测试输入能够实现接近100%的神经元覆盖。同时,作者在实验中还发现:在模型架构的某些情况下,可以通过两个测试输入获得100%的神经元覆盖。因为对于大多数测试输入,神经元总是处于激活状态。因此,神经元覆盖是相当粗糙和不充分的标准。

  2. DeepCover的局限性:
    DeepCover的覆盖标准考虑了DNN相邻层中的条件判定依赖性。该方法除了时在相对较小的网络上测试之外,它的前提条件还要求DNN是前馈全连接的神经网络。而且它不能推广到诸如RNN、LSTM、attention网络等的架构。DeepCover不考虑神经元在其所在层的环境,即同一层中神经元输出的组合

  3. DeepCT的局限性:
    DeepCT的组合测试是启发于覆盖标准:根据每层激活的神经元比值描述测试输入所使用的逻辑比值。它没有考虑DNN中的层级之间的关系,并且也没有被证实可以扩展到具有不同类型层的、能用于真实世界的DNN。

2. 测试输入生成的方面

测试输入可以通过指导方式生成或选择得到,它通常有两个主要目标:最大化未覆盖故障的数量,并最大化覆盖范围。 目前测试输入生成方法存在一些主要缺点:

(1)修改现有测试输入直到找到满足标准的测试输入的迭代过程单次执行耗时长

(2)与总的测试和生成的输入数量相比,那些能够导致覆盖范围和/或发现的角落案例增加的测试输入数量相当低。

3. Oracle选择的方面

测试DNN的正确性需要一些基本事实(oracle),我们可以理解为基线或者正确答案,主要是用于确定输入的行为是否正确。目前用于测试DNN的现有规则受到以下几个限制:

(1)数据驱动的方案中最直接的方法是收集尽可能多的实际数据并手动标记以检查其是否正确。但是,这样的过程需要大量的手动工作

(2)在某些工作中,会使用同一任务的多个实现作为oracle,并将其中的的差异行为标记为角落案例行为。然而,我们观察到这种方法会错误地将某些角落情况分类为正确的行为,此外,此方法仅在具有多个高精度且相似的实现的应用程序中有效

五、作者提出的新的方法或者准则是什么?与传统测试技术相比有什么优势?

在本文中,作者基于对内部决策逻辑的覆盖提出了一个包含两个因子的覆盖标准——每个神经元单独对下一层神经元值的条件影响以及上一层中神经元值的组合对下一层神经元值的影响

基于这些定义,我们的覆盖标准被定义为DNN中由第k-1层的第i、j个神经元n_(i,k-1)、n_(j,k-1)和第k层第q个神经元n_(q,k)三元组的2-路覆盖:(n_(i,k-1),n_(j,k-1),n_(q,k))。

第一个覆盖更多地受到MC/DC和其他传统软件覆盖标准的启发,但第二个覆盖的灵感来自组合测试。这种测试基于以下事实:并非每个参数都会导致每次失败,而经验数据表明几乎所有失败都是由相对较少的参数之间的相互作用引起的

PS:MC/DC MC/DC(修订的条件/判定覆盖)(Modified Condition/Decision
Coverage)准则是一种实用的软件结构覆盖率测试准则,
在每个判定中的每个条件都曾独立的影响判定的结果至少一次。独立影响意思是在其他的条件不变的情况下,改变一个条件,而这个改变会导致最终的结果也改变。总结起来就是在所有的测试用例中,要保证每个条件都能对结果都独立起到作用。

除了提出的这个标准以外,作者还介绍通过实现这个标准,可以不断迭代实现100%覆盖DNN的内部逻辑。下面,举个例子给大家解释一下:

(1)对于一个初始测试输入的结果,我们通过组合优化来实现指导测试输入的生成。任何没有达到100%覆盖率的三元组被随机选择,以确定哪些激活值的组合没有被覆盖。例如考虑DNN某个状态实例未被100%覆盖,这种状态下三元组中n_(i,k-1)被触发(其激活函数值大于假设阈值0)、n_(j,k-1)没有被激活(其激活函数值小于等于0)、决策神经元n_(q,k)被激活。目标变成了:
在这里插入图片描述
其中f是对应神经元的激活函数,为了产生当前状态,激活n_(i,k-1)和n_(q,k)而不激活n_(j,k-1),可以通过最大化n_(i,k-1)和n_(q,k)的激活函数、最小化n_(j,k-1)的激活函数,以使它们分别大于或小于一定阈值从而变为激活或未激活状态。

(2)因为F_(n,t)(见下式)中的个体项是某些层中某些神经元的激活值,而任何n的∅(t,n)(表示对于输入为t时神经元n的激活状态)是复合函数,所以可以使用链式法则逐层计算偏导数直到到达输入t的输入层,从而逐步修改t以生成测试输入。
在这里插入图片描述
(3)通过这种迭代修改输入的方式最大化目标函数,以达到期望的三元组某种激活状态,从而覆盖三元组不同的激活状态。

作者接下来在评估中体现了他们提出的标准相对于前面的工作更细粒度

作者评估了三个DNN——LeNet-1,LeNet-4和LeNet-5——的覆盖度量,这三个DNN对手写数字的MNIST数据集进行了分类。并确定覆盖标准有效性的指标是:

(1)10个随机测试输入获得的覆盖率
(2)边角案例数与总测试输入数的比率

结果显示,前面工作在相同的指标下获得了更高的覆盖率和对比值,而使用作者提出的标准时覆盖率直线下降,体现出作者提出的标准较于先前工作粒度更细。

六、总结

深度神经网络在安全关键应用领域的应用越来越多,从各方面考虑都必要进行充分的测试,以检测和修正其错误行为。但是由于深度神经网络缺乏明确的控制流结构,使得传统的软件测试标准如代码覆盖率等无法应用于深度神经网络。

在这篇论文中,作者研究了目前现有的深度神经网络测试方法、存在的局限和改进的机会,以及对快速、可扩展的端到端测试方法的需求。最后,作者还提出了一个深度神经网络的覆盖准则,该准则试图覆盖深度神经网络内部逻辑。但是覆盖方法对更大尺寸的真实DNN的可扩展性及其对不同网络架构的适应性尚待测试。

此笔记为小组作业,由本人撰写,特别感谢周悦同学的意见和提供的部分内容修改。公式没有调整格式,之后有空再改。

论文翻译:2021_Towards model compression for deep learning based speech enhancement
www_xuhss_com的博客
04-08 1706
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录 摘要1  引言2  算法描述A  基于DNN的语音增强B  迭代非结构化和结构化剪枝C  稀疏正则化D  基于聚类的量化3  实验步骤A  数据处理B&nbsp
深度学习测试-DeepXplore
weixin_39329746的博客
04-15 4331
深度学习测试-DeepXplore背景介绍想法对抗生成当前存在的挑战论文整体思路神经元覆盖率(NC:Neuron coverage)联合优化问题特定的约束 背景介绍 Deep Learning system目前很火,已经应用于多个领域,包括图像识别、语音识别,同时自动驾驶及流氓软件的检测等问题上也已经开始使用。尤其是类似自动驾驶问题,对安全性要求极强,所以迫切需要对DL system有效的测试方法...
[论文解读]Towards Improved Testing For Deep Learning
年糕的博客
10-12 1061
Towards Improved Testing For Deep Learning 文章目录Towards Improved Testing For Deep Learning简介摘要初步背景先验文学改善的机会为什么我们需要更好的覆盖标准?为什么我们需要更好的测试输入生成?为什么我们需要一个更好的oracle呢?初步探讨和结果结论 简介 论文标题 Towards Improved Testing For Deep Learning 走向深度学习的改进测试 2019 提出了一种组合测试的覆盖方法,以三元
基准缺陷程序集论文阅读:[ICSE 2019 Demo] Defexts: A Curated Dataset of Reproducible Real-World Bugs for Modern..
the Blog of 等不到天亮丶等时光
02-14 1019
在此阅读[ICSE 2019 Demo] Defexts: A Curated Dataset of Reproducible Real-World Bugs for Modern JVM Languages。 在下载这篇文章的时候,上面标注的是ICSE 2019 Demo,想必不会错,且出自软件测试领域大牛之手,值得一读。
[ICSE 2019] Harnessing Evolution for Multi-Hunk Program Repair
the Blog of 等不到天亮丶等时光
06-29 728
本文旨在阅读 ICSE 2019 文章 —— Harnessing Evolution for Multi-Hunk Program Repair。
人车密度估计--Towards perspective-free object counting with deep learning
AI小作坊 的博客
09-30 3217
Towards perspective-free object counting with deep learning ECCV2016 https://github.com/gramuah/ccnn本文针对人车密度估计问题,主要做了两个工作:1)提出了一个 novel convolutional neural network:Counting CNN (CCNN),将图像块回归到密度图,2)
ICSE (2022). Nessie的阅读记录
bing_Max的博客
04-06 4501
题目: Nessie: Automatically Testing JavaScript APIs with Asynchronous Callbacks 问题 :几个不理解的名词 1:什么是JavaScript APIs? 2:什么是Asynchronous ?与synchronous的区别? 3:什么是 Callbacks ? Asynchronous Callbacks ? 一、ABSTRACT 第1句 原文: Previous algorithms for feedback-direc
Towards Service Robots for Everyday Environments
08-28
Springer Tracts in Advanced Robotics Volume 76 - Towards Service Robots for Everyday Environments Recent Advances in Designing Service Robots for Complex Tasks in Everyday Environments
深入机器学习——Towards a Deep Learning Compiler for the Cloud 共24页.pdf
07-18
本文档《深入机器学习——Towards a Deep Learning Compiler for the Cloud 共24页.pdf》探讨了一个面向云环境的深度学习编译器的概念和技术细节。文档通过介绍百度的PaddlePaddle深度学习框架的发展历程及其在构建...
Image Embedding of PMU Data for Deep Learning towards Transient Disturbance
03-10
This paper presents a study on power grid disturbance classification by Deep Learning (DL). A real synchrophasor set composing of three different types of disturbance events from the Frequency ...
Self-supervised Learning of Adversarial Example:Towards Good Generalizations for Deepfake Detection
最新发布
01-09
本篇文档深入探讨了最新研究——通过自我监督学习来增强对抗性示例,以实现对Deepfake的检测,并探讨如何提高模型的泛化能力。 首先,论文提出了对抗性增强的概念,这是一种通过对抗性训练策略动态生成最具挑战性的...
[阅读笔记]Programming Models for Deep Learning
casmaster的专栏
07-20 297
原文:Programming Models for Deep Learning 这篇文章的主题是深度学习的编程模型. 现在有很多深度学习库.这篇文章编程模型来分析的优缺点.符号式 vs 命令式 编程不同点在于符号式编程,C=B∗AC = B * A执行的时候,并没有真正计算,而是生成一个计算图命令式编程更加灵活本事原因在于,命令式编程更加native符号式编程效率更高效率包括内存和运行效率 命
《Guiding Deep Learning System Testing using Surprise Adequacy》论文笔记
yh991314的博客
03-30 4988
Surprise Adequacy(SA) 本文提出了SADL,这是一个用于DL系统的惊喜充分性框架,它可以定量地度量每个输入相对于训练数据的相对惊喜,我们称之为惊喜充分性(SA)。使用SA,我们还开发了惊喜覆盖(SC),它衡量离散输入惊喜范围的覆盖,而不是具有特定激活特征的神经元的计数。我们的实证评估表明,SA和SC能够准确地捕捉到输入的惊喜,是DL系统对未知输入做出反应的良好指标。SA与DL系统找到输入的难度相关,可以用来准确地对对抗性例子进行分类。
软件测试与质量学习笔记——白盒测试2
卑微小厉的博客
10-18 267
最近学习了mooc上的课程:软件测试与质量,看完这门课之后感觉自己对软件测试系统的了解加深了一个层次,下面我给大家分享一下我学习课程时记录的笔记。 白盒测试技术2 判定节点 对于路径的测试 基于等价路...
[论文阅读笔记]Towards Deep Learning Models Resistant to Adversarial Attacks
Invokar的博客
07-21 9912
Towards Deep Learning Models Resistant to Adversarial Attacks(CVPR 2017) 文章简述: 本文主要是在研究防御的问题,并提出了PGD这种first-order攻击方法,其中增强模型robust的方法有以下两种: 增大网络容量 使用PGD方法进行对抗训练 如何训练更加robust的模型? 下面这个公式可以看成一个鞍点的问题,即i...
CNN神经元覆盖率使用记录
weixin_42971014的博客
10-30 2483
关于神经元覆盖率的概念和使用方式,详情见https://www.52cs.com/archives/2809,当然本文的实验方式有缺陷,不能很好的得到结论,因为每次加50样本,随着样本数量增多即新增样本的影响准确率会自然稀释,但是也一定的说明问题,先行记录,等有空闲再完善 计算步骤 关于CNN的神经元覆盖率,分两部分计算: convolution部分: 卷积部分,在卷积核计算卷积之后,一般会...
ICSE 2021】ATVHUNTER: Reliable Version Detection of Third-Party Libraries for Vulnerability 论文笔记
Juruo@Security
03-09 1070
ICSE 2021】ATVHUNTER: Reliable Version Detection of Third-Party Libraries for Vulnerability Identification in Android Applications 阅读笔记
模糊神经网络_DeepHunter:深度神经网络覆盖导向的模糊测试框架
weixin_39984201的博客
12-14 1913
1、引用Xiaofei Xie, Lei Ma, Felix Juefei-Xu, Minhui Xue, Hongxu Chen, Yang Liu, Jianjun Zhao, Bo Li, Jianxiong Yin, and Simon See. 2019. DeepHunter:a coverage-guided fuzz testing framework for deep ...
[论文解读]Structural Coverage Criteria for Neural Networks Could Be Misleading
年糕的博客
04-16 743
Structural Coverage Criteria for Neural Networks Could Be Misleading 简介 论文标题 Structural Coverage Criteria for Neural Networks Could Be Misleading 神经网络的结构覆盖标准可能具有误导性 2019 核心 adversary-oriented searc...
Towards Deep Learning Models Resistant to Adversarial Attacks
04-03
Adversarial attacks are a major concern in the field of deep learning as they can cause misclassification and undermine the reliability of deep learning models. In recent years, researchers have proposed several techniques to improve the robustness of deep learning models against adversarial attacks. Here are some of the approaches: 1. Adversarial training: This involves generating adversarial examples during training and using them to augment the training data. This helps the model learn to be more robust to adversarial attacks. 2. Defensive distillation: This is a technique that involves training a second model to mimic the behavior of the original model. The second model is then used to make predictions, making it more difficult for an adversary to generate adversarial examples that can fool the model. 3. Feature squeezing: This involves converting the input data to a lower dimensionality, making it more difficult for an adversary to generate adversarial examples. 4. Gradient masking: This involves adding noise to the gradients during training to prevent an adversary from estimating the gradients accurately and generating adversarial examples. 5. Adversarial detection: This involves training a separate model to detect adversarial examples and reject them before they can be used to fool the main model. 6. Model compression: This involves reducing the complexity of the model, making it more difficult for an adversary to generate adversarial examples. In conclusion, improving the robustness of deep learning models against adversarial attacks is an active area of research. Researchers are continually developing new techniques and approaches to make deep learning models more resistant to adversarial attacks.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值