原文地址:https://arxiv.org/pdf/1806.06108
Basic Information:
- Title: Non-Negative Networks Against Adversarial Attacks (非负网络抵抗对抗性攻击)
- Authors: William Fleshman, Edward Raff, Jared Sylvester, Steven Forsyth, Mark McLean
- Affiliation: Laboratory for Physical Sciences, University of Maryland (物理科学实验室,马里兰大学)
- Keywords: adversarial attacks, non-negative weight constraints, binary classification, malware detection, image classification
- URLs: arXiv:1806.06108v2 [stat.ML] 3 Jan 2019, GitHub: None
论文简要 :
- 本研究针对神经网络的对抗攻击问题,通过引入非负权重约束,展示了在特定场景下改善抵抗能力的方法,并展示了在二元分类问题(如恶意软件或垃圾邮件检测)以及图像分类中的有效防御潜力。
背景信息:
- 论文背景: 对神经网络的对抗攻击是一个重要问题,但目前尚缺乏有效的防御方法。
- 过去方案: 过去的研究大多集中在图像领域,而恶意软件检测涉及一个真实的对手,其攻击方式受到严格的限制,因此需要专门的防御方法。
- 论文的Motivation: 鉴于现有的防御方法无法有效解决对抗攻击问题,本研究旨在利用非负学习约束来应对定向的对抗攻击问题,并将其推广到多类别问题,如图像分类。
方法:
-
a. 理论背景:
- 作者讨论了在神经网络中使用非负权重约束作为对抗攻击的一种防御方法。他们展示了这些约束对改善具有不对称成本的二元分类问题的抵抗力的有效性,例如恶意软件或垃圾邮件检测,以及图像分类问题。该方法利用带有非负权重约束的逻辑回归,在测试时隔离了表示正类的特征,并防止与负类相关的特征参与分类。
-
b. 技术路线:
- 作者提出了一种用于抵御有针对性对抗攻击的非负训练方法。他们专注于二元任务,如恶意软件和垃圾邮件检测,并研究了将非负性应用于多类问题。作者使用一个S形输出神经元和中间层的ReLU函数,保持神经网络中的非负表示。他们还结合非负学习使用一对多策略来解决多类分类问题。
结果:
- a. 详细的实验设置:
- 作者在实验中使用了MalConv和基于N-Gram的模型进行恶意软件检测,涉及原始文件字节的应用。实验中指定了白盒威胁模型,假设对手对模型、其权重和训练数据有完全了解。
- b. 详细的实验结果:
- 实验结果表明,非负权重约束方法对恶意软件检测中的附加攻击起到了有效防御作用,同时仍然获得了合理的准确性。