AI²:用抽象解释证明神经网络的安全性和鲁棒性

最新推荐文章于 2024-08-17 08:15:00 发布
最新推荐文章于 2024-08-17 08:15:00 发布
阅读量2.1k 收藏 10
点赞数 3
分类专栏: 论文笔记 文章标签: 人工智能 神经网络 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GGG_Yu/article/details/114292171
版权

AI²:用抽象解释证明神经网络的安全性和鲁棒性


文献来源:Timon Gehr, Matthew Mirman, Dana Drachsler-Cohen, Petar Tsankov, Swarat Chaudhuri∗, and Martin Vechev. AI²: Safety and Robustness Certification of Neural Networks with Abstract Interpretation[C]. IEEE Symposium on Security and Privacy 2018. pp.3-18.
这是由苏黎世理工学院的团队提出的,最早的一种基于抽象解释的框架。

摘要

  AI²(Abstract Interpretation)是第一个针对深度神经网络的完备且可扩展的分析框架。基于过度逼近(overapproximation)的方法,AI²可以自动证明真实神经网络(比如卷积神经网络)的安全性质(例如鲁棒性)。

  AI²的主要思想是利用经典的抽象解释来表达关于神经网络的安全性和鲁棒性的推理。具体来说,论文使用一组带条件的仿射函数来建模基于ReLU的神经网络,可以刻画神经网络中的全连接层、卷积层和最大池化层结构。并在验证过程中使用各种抽象域来分析这些仿射函数,最后得到输出层变量的取值范围或变量之间的约束关系。

  论文完整实现了AI²并用其在20个神经网络上进行了广泛的评估。实验结果表明AI²有以下几个优点:

(1)AI²足够精确,可以证明诸如鲁棒性之类有价值的性质;

(2)AI²可以用来证明神经网络领域内最先进的防御技术的有效性;

(3)AI²比现有的基于符号分析的分析框架验证速度快得多;

(4)AI²可以处理卷积神经网络,这是目前其他基于线性规划和SMT的方法做不到的。

论文的几个背景知识点

条件仿射变换CAT(conditional affine transformation)
在这里插入图片描述
论文把神经网络表示为条件仿射变换的组合,下面是AI²支持的三种神经网络结构的计算过程示例图。

在这里插入图片描述

卷积层中定义了一个矩阵WF来和输入向量相乘,模拟卷积过程。
在这里插入图片描述
最大池化层处理输入向量的几个步骤:
在这里插入图片描述
上图中每一步转换都定义了对应的矩阵:
在这里插入图片描述在这里插入图片描述

整个转化过程用矩阵乘法过程表示出来就是:在这里插入图片描述

抽象解释AI(Abstract Interpretation)

抽象解释使得人们无需运行程序就可以在一组输入上证明程序的性质,它的基本思想是利用抽象域的概念来对某个输入集合的计算进行近似。
在这里插入图片描述
上图就是一个抽象解释的过程。

抽象域

抽象域由一组可被表达为逻辑约束的形状组成。几个常用的数字抽象域有:Box(即区间)、Zonotope(环带胞形)、Polyhedron(多面体)。

在上面例子的(a)图中,
区间抽象域:
在这里插入图片描述
Zonotope抽象域:

最低0.47元/天 解锁文章
GGG_Yu
关注
专栏目录
Transformer与问答系统:知识库的探索者
程序员光剑
04-30 835
人工智能和自然语言处理领域,问答系统一直是一个备受关注的研究方向。随着深度学习技术的飞速发展,特别是Transformer架构的出现,问答系统的性能得到了显著提升。Transformer模型凭借其强大的并行处理能力和对长距离依赖的有效捕捉,成为了构建高效问答系统的核心技术之一。本文将深入探讨Transformer在问答系统中的应用,特别是如何利用Transformer来构建基于知识库的问答系统。
深度神经网络安全性验证(Safety Verification of Deep Neural Networks)
GGG_Yu的博客
06-18 1919
作者:Xiaowei Huang, Marta Kwiatkowska, Sen Wang and Min Wu 单位:牛津大学计算机科学系 目录摘要主要贡献预备知识分类决策的安全性分析安全性鲁棒性操作有界变化验证框架逐层分析验证方法特征分解和发现区域和操作的选择映射回输入层实验结果比较总结 摘要   深度神经网络在图像分类方面取得了令人印象深刻的实验结果,但它在对抗扰动方面是不稳定的,也就是说,对输入图像的极小改变也会导致网络对其进行错误分类。随着自动驾驶汽车的应用,包括感知模块和端到端控制器,这都引起
MIT、哈佛合作,这个研究让神经网络认清自己“几斤几两”!
ctrigger的专栏
12-15 340
作者:上海小胖 【新智元导读】在MIT和哈佛大学合作的项目中,研究员们探索了神经网络的可信度问题,他们开发了一种可以处理数据的神经网络,不仅可以输出预测结果,还可以根据可用数据的质量,给出模型的可信赖水平。 神经网络被用的越来越多了。 无论是医疗诊断还是自动驾驶,在许多关乎人类安全与健康的重要领域,神经网络逐渐开始发挥作用。 但是这些神经网络,可信吗? 我们都知道,神经网络善于从大型、复杂的数据中识别模式,以帮助人类决策,但是它进行识别的过程却是一个黑箱。 一些AI研究者就试图揭开这一秘密,..
文章解读与仿真程序复现思路——电力系统自动化EI\CSCD\北大核心《基于奇诺多面体的虚拟电厂分布式资源广域聚合调控方法》
最新发布
LIANG674027206的博客
08-17 1737
本专栏栏目提供文章与程序复现思路,具体已有的论文与论文源程序可翻阅本博主免费的专栏栏目论文与完整源程序_电网论文源程序的博客-CSDN博客电网论文源程序-CSDN博客电网论文源程序擅长文章解读,论文与完整源程序,等方面的知识,电网论文源程序关注python,机器学习,计算机视觉,深度学习,神经网络,数据挖掘领域.:随着分布式资源在配电网侧的普及,挖掘其灵活性潜力对于电力系统的安全稳定运行和经济性变得非常重要。:选取空调负荷、储能设备、柴油发电机作为典型资源,建立它们的动态电气模型,并刻画其可行域空间。
神经网络在安全领域的应用:防御网络攻击与隐私保护
程序员光剑
01-03 651
1.背景介绍 在当今的数字时代,数据安全和隐私保护已经成为了我们生活和工作中最关键的问题之一。随着互联网的普及和人工智能技术的发展,网络攻击和隐私泄露的风险也随之增加。因此,研究者们在这方面的努力也越来越多。神经网络在安全领域的应用尤为重要,它可以帮助我们更有效地防御网络攻击,保护隐私信息。 在本文中,我们将从以下几个方面进行阐述: 背景介绍 核心概念与联系 核心算法原理和具体操作步骤以及...
Yoshua Bengio团队通过在网络「隐藏空间」中使用降噪器以提高深度神经网络的「鲁棒性
人工智能学家
04-12 673
原文来源:arXiv  作者:Alex Lamb、Jonathan Binas、Anirudh Goyal、Dmitriy Serdyuk、Sandeep Subramanian、Ioannis Mitliagkas、Yoshua Bengio「雷克世界」编译:嗯~是阿童木呀、KABUDA、EVA导语:深度神经网络在各种各样的重要任务中取得了令人印象深刻的成果。但有一点,对不同于训练分布的数据进行
(一)深度神经网络安全性和可信度的调查----验证、测试、对抗性攻击和防御,以及可解释
xhdll的博客
05-03 2116
在过去的几年中,深度神经网络(DNNs)在几个长期任务上实现人类水平的表现方面取得了重大进展。随着dnn在各种应用上的广泛应用,人们对其安全性和可信度的担忧被公开提出,特别是在广泛报道涉及自动驾驶汽车的致命事件之后。解决这些问题的研究尤其活跃,在过去的几年里发表了大量的论文。本文回顾了目前旨在使DNN安全、值得信赖的研究工作,重点关注四个方面:验证、测试、对抗性攻击和防御,以及可解释性。我们总共调查了202篇论文,其中大部分是在2017年之后发表的。
卷积神经网络调优秘籍:超参数调试的艺术
深度学习和计算机视觉领域,卷积神经网络(CNN)已成为一种强大的工具,它们在图像和视频识别、图像分类、医学图像分析、自然语言处理等众多应用中取得了重大突破。CNN通过模拟人类视觉系统工作原理来自动和高效地...
"基于VGG和ResNet网络的迁移学习方法实现眼部黑色素瘤检测
2021年7月14日收到2022年5月22日修订2022年6月28日接受2022年7月22日在线发售关键词:计算机视觉卷积神经网络医学图像分析葡萄膜黑色素瘤A B S T R A C T由于计算和存储的不断进步,像疾病诊断或语义分割这样的复杂...
高性能计算(HPC)和智能计算理解
tugouxp的专栏
07-24 5478
1.现代终端设备一般都跟云端服务器相连,但只要可能,我们都希望计算可以在本地终端解决,这样做的好处是多方面的:既可以减小网络带宽的压力,又可以避免网络传输产生的时延,还可以让用户的数据更安全。现代终端设备一般用一个片上系统 (SoC)做计算,上面部署了通用的CPU和集成显卡。对于日益增多的卷积神经网络推理计算来说,在移动端的CPU(多数ARM,少数x86)上虽然优化实现相对简单(参见我们对CPU的优化),但此处它并非最佳选择,因为:1)移动端CPU算力一般弱于集成显卡(相差在2-6倍之间);2)更重要的是,
神经架构搜索鲁棒性(来源于CVPR 2020-港中文-MIT ).pdf
04-08
对抗攻击的最新进展揭示了现代深层神经网络的内在弱点。从那时起,人们就致力于通过专门的学习算法和损失函数来增强深度网络的鲁棒性。在这项工作中,我们从体系结构的角度研究了网络体系结构的模式,这些模式对对抗攻击具有弹性。
层次分析matlab代码-ConZono:康佐诺
05-23
层次分析matlab代码设置受限区域的操作和订单减少 使用Zonotopes和Constrained Zonotopes计算半空间相交,冗余检测和去除,内部近似,凸包,RPI集和Pontryagin差的代码。 在分层模型预测控制的背景下,将这些方法的数值示例应用于可达性分析。 先决条件 示例代码使用,和 组织的结构 数据文件-包含模拟数据以绘制结果 库函数-包含“应用示例”中主要代码使用的自定义库 应用示例-包含各种示例的m文件
[?? 2023] 抵抗数据中毒攻击的可证明鲁棒推荐系统
sinat_38007523的博客
04-11 670
数据中毒攻击欺骗了一个推荐系统,通过向推荐系统中注入精心设计的评分分数,从而做出任意的、攻击者想要的建议。我们设想一个猫捉老鼠的游戏,这样的数据中毒攻击和他们的防御,也就是说,新的防御被设计来防御现有的攻击,新的攻击被设计来打破它们。为了防止这种猫捉老鼠的游戏,我们提出了PORE,本工作是第一个构建可证明的鲁棒推荐系统的框架。PORE可以将任何现有的推荐系统转换为对任何非目标数据中毒攻击的稳健性,其目的是降低推荐系统的整体性能。假设PORE在没有攻击时向用户推荐top-N项。
对于输入(使用cin)安全性鲁棒性的小结
zhangtonghui816的专栏
01-02 1141
今天做了微软的几道试题,发现几乎都要求输入,那么使用C++输入我想最容易的是cin了吧,还想用stringstream?      针对cin其实有很多可以研究的地方如,cin.clear(),cin.sync().你要输入一个整数,如 int temp;cin>>temp;cin.fail()或者cin.good()不一定反映出错误,比如输入1.1不报错,因为temp为整形。 #inc
神经网络的安全隐患:居然可以隐藏恶意软件
haisendashuju的博客
06-13 254
深度学习模型拥有数以百万计甚至数十亿计的数值参数,因此可以做很多事情:检测照片中的物体、识别语音、生成文本,甚至隐藏恶意软件。
Sigmoid类神经网络鲁棒性验证
欢迎来到道的世界
10-24 3024
 该论文是关于神经网络鲁棒性理论类的文章。类似有Sigmoid激活函数的神经网络,由于其非线性,使得在进行神经网络鲁棒验证评估时,不可避免地会引入了不精确性。当前的一个研究方向是寻找更严格的近似值以获得更精确的鲁棒验证结果。然而,现有的紧密度定义是启发式的,缺乏理论基础。在该论文中,作者对现有的神经元紧密度表征进行了全面的实证分析,并揭示它们仅在特定的神经网络上具有优势。另外,作者基于神经网络紧密度的概念重新提出了一个统一的神经网络紧密度定义,并表明计算神经网络紧密度是一个复杂的非凸优化问题。为了能够更好地
鲁棒性的获得 —— 测试的架构
09-03 2051
本文以排序函数进行说明; 使用标准库函数作为参照对比;
硬核!IBM对「神经网络鲁棒性」的理论分析
我爱计算机视觉
03-14 1357
近期,CVPR 2021 安全AI挑战者大赛正在进行中(报名截止3月24日),相关技术解析:1. CVPR 2021大赛, 安全AI 之防御模型的「白盒对抗攻击」解析2. 还在刷榜Ima...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值