TRADES:Theoretically Principled Trade-off between Robustness and Accuracy

最新推荐文章于 2023-02-16 18:57:55 发布
最新推荐文章于 2023-02-16 18:57:55 发布
阅读量2.2k 收藏 8
点赞数 3
分类专栏: 对抗攻击 文章标签: 人工智能 python 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49171105/article/details/126256462
版权

本文将对抗样本的预测误差分解为自然误差和边界误差的综合,利用分类校准损失理论提供了一个可微的上界。该上界时所有概率分布和可测量预测量的最紧的可能上界。同时设计出了一种新的防御方法:TRADES,用来抵消对抗稳健性和准确性。

主要贡献

1)理论上,通过将鲁棒误差分解为自然误差和边界误差之和,来描述分类问题的准确性和鲁棒性之间的权衡。利用了分类校准损失理论,给出了这两个项的可微上界,证明了它是所有概率分布和可测预测因子上最严格的一致上界。

2)算法上,受理论的分析的启发提出了一种新的对抗性防御形式,即TRADES,作为优化正则化替代损失。损失由两项组成:经验风险最小化项鼓励算法最大化自然精度,而正则化项鼓励算法将决策边界推离数据,以提高对抗鲁棒性

符号说明

 粗体大写字母表示随机向量,粗体小写字母表示随机向量的实现,大写字母表示随机变量,小写字母表示随机变量的实现。

前言

误差

有界\epsilon扰动威胁模型下的鲁棒(分类)误差:

 自然分类误差:

R_{rob}(f)是关于分类器f存在对抗样本的样本点的测度。

R_{nat}(f)是f正确分类真实样本的概率,并且R_{rob}\geq R_{nat}

边界误差:

在实际中,想要最优化0-1 loss是很困难的,往往用替代的loss\varnothing,定义为:

在自然误差和边界误差中都涉及到了0-1损失函数,本文的目标是设计这两个向的紧可微上界,为了实现这一目标,利用了分类校准损失理论。

classification-calibrated surrogate loss

分类校准损失,对于\eta \in [0,1],条件风险定义为:

 假设1(分类校准损失):假设替代损失\varphi是经过分类校准的,这意味着对任何的\eta \neq 1/2,有H^{-}(\eta )>H(\eta)

该假设对于分类问题是不可缺少的,因为没有它,贝叶斯最优分类器就不能是风险的最小化者。

性质;

 (最后一句话的意思是描述了替代损失与非分类校准损失的接近程度)

引理2.1:在假设1 的条件下,函数\psi具有以下性质:在[0,1]上,该函数为非递减连续凸函数,并且\psi (0)=0

通过这个标定的损失函数的性质,可以推得优化函数的上界。

Relating 0-1 loss to surrogate loss

上界

定理3.1:

 在假设1的条件下,对于任何非负损失函数\varphi,任何可测量的f:\chi \rightarrow \mathbb{R},在\chi \times {}{[\pm 1}]的任何概率分布,任何\lambda >0有:

 对抗样本存在的正式理由:学习模型容易受到小型对抗攻击,因为数据位于模型决策边界附近的概率比较大,故小扰动可能会将数据点移动到决策边界的错误一侧,导致分类模型的鲁棒性较弱。

下界

定理3.2:假设\left | \chi \right |\geq 2,在假设1的条件下,对于任何的非负损失函数\phi,以至于\phi (x)\rightarrow 0代表x\rightarrow \infty,任意\xi >0,\theta \in [0,1],存在一个概率分布,在\chi \times {}{[\pm 1}],一个函数f个一个正则化参数\lambda >0,以至于R_{rob}(f)-R_{nat}^{*}=0并且有:

 定理3.2证明了在损失函数存在额外条件的情况下,定理3.1中上界很紧。

算法

优化:

定理3.1和3.2阐明了对抗性防御算法设计,为了最小化R_{rob}(f)-R_{nat}^{*},要最小化:

(3)捕捉了自然错误和鲁棒错误之间的权衡:(3)中的第一项通过最小化f (X)和Y之间的“差”来优化自然错误,而第二项正则化则通过最小化自然例子f (X)和对抗性例子f (X0)的预测的“差”来促进输出的平滑,即通过最小化自然例子f (X)和对抗性例子f (X0)的预测的“差”来推动分类器的决策边界远离样本实例。 

 

 

 

 

你今天论文了吗
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVPR2020 | 利用NAS搜索针对对抗攻击的鲁棒神经网络结构
我爱计算机视觉
07-10 1555
本文介绍CVPR 2020 论文When NAS Meets Robustness: In Search of Robust Architectures against Advers...
TraDeS:跟踪检测与分割:一种在线多目标跟踪器
g_buerdeqingshu的博客
03-22 2930
论文:Track to Detect and Segment: An Online Multi-Object Tracker TraDeS:跟踪检测与分割:一种在线多目标跟踪器 摘要 大多数在线多目标跟踪器在独立的,没有任何跟踪输入的神经目标检测网络表现优异。本篇论文中,我们提出一种新的在线检测跟踪模型,TraDeS(跟踪检测与分割),利用跟踪信息来帮助端到端的检测。TraDeS根据代价量推测跟踪目标的偏移距离,这个代价量用于通过前向传播提取对象的特征以此来提高当前目标检测和分割。TraDeS在.
Theoretically Principled Trade-off between Robustness and Accuracy
MTandHJ的博客
03-12 2119
文章目录概主要内容符号说明ErrorClassification-calibrated surrogate loss引理2.1定理3.1定理3.2由此导出的TRADES算法实验概述 Zhang H, Yu Y, Jiao J, et al. Theoretically Principled Trade-off between Robustness and Accuracy[J]. arXiv: ...
对于多目标跟踪模型TraDeS的学习与理解
weixin_45377668的博客
09-24 1037
CVPR2021提出了一个新的在线联合检测和跟踪的模型TraDeS,利用了跟踪线索来辅助端到端检测。本文对该模型进行学习介绍。
Towards Adversarial Attack on Vision-Language Pre-training Models
Seaern的博客
02-16 1348
虽然视觉-语言预训练模型(VLP)在各种视觉-语言(V+L)任务上表现出革命性的改进,但关于其对抗鲁棒性的研究在很大程度上仍未被探索。本文研究了常用VLP模型和V+L任务的对抗性攻击。首先,我们分析了不同设置下对抗性攻击的性能。通过研究不同扰动对象和攻击目标的影响,我们总结出一些关键的观察结果,作为设计强健多模态对抗性攻击和构建鲁棒VLP模型的指导。其次,我们在VLP模型上提出了一种新的多模态攻击方法,称为协同多模态对抗攻击(Co-Attack),它共同对图像模态和文本模态进行攻击。
TraDes简述
今天打卡Leetcode了吗
11-03 674
引言   目前在线多目标跟踪方法主要遵循两个模式(原文用的是paradigm(范例,模范),如果写英文论文的话也许用得上):先检测后跟踪(tracking-by-detection,TBD)、联合检测跟踪(joint detection and tracking,JDT),本文方法是遵循联合检测跟踪,不同的模式对比如下:   对比DBT的两个backbone,JDT有天然的优势,一个网络同时实现检测和关联任务,能更加快速的进行推理。JDT虽然网络共享,良好的检测对于追踪的稳定和一致是有益的,但是相较于追踪
trades:Ruby on Rails-has_many_through高级关联
05-16
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
POE-Trades-Companion:增强您在流亡之路的交易经验。 高度可定制
05-24
从发布页面下载并解压缩POE-Trades-Companion-AHK.zip 。 运行POE Trades Companion.ahk 您可以通过右键单击图标来访问“设置”菜单。 POE Trades Companion Wiki页面您也可以下载可执行文件,但有些保护措施将其...
hire-trades:重建https
04-08
《hire-trades: 重构与HTTPS的深度解析》 在当今的互联网环境中,安全性和可靠性是任何在线服务的基石,尤其是对于涉及个人信息和交易的Web应用程序。本项目"hire-trades"显然关注于这一核心问题,通过重构和采用...
finance:已弃用-基本财务时序SciDB示例
05-21
我们使用一天的美国交易所买卖股票交易数据(从与SciDB相同的计算机上Linux命令行发布)获得: wget ftp://ftp.nyxdata.com/Historical Data Samples/TAQ NYSE Arca Trades/EQY_US_ALL_ARCA_TRADE_
Trade-Tracker:ASP.NET Core中的清洁体系结构贸易跟踪解决方案
03-27
TradeTracker 使用在ASP.NET Core中实现的股票交易和投资组合跟踪解决方案。 技术领域 (用于测试API端点) 目标 交易的CRUD功能 通过安全/股票行情 使用过滤器/查询(例如时间范围,包含/排除等) ...
TRADES:TRADES(通过代理损失最小化实现TRadeoff启发的对抗防御)
05-17
交易(TR adeoff启发甲dversarial DE fense通过S urrogate丢失最小化) 这是代码“理论上有原则的权衡鲁棒性和准确性之间的”由(CMU,TTIC),(弗吉尼亚大学),建滔焦分校(UC Berkeley),埃里克·P.兴( CMU&Petuum Inc。),Laurent El Ghaoui(加州大学伯克利分校)和Michael I. Jordan(加州大学伯克利分校)。 该方法是的。 从TRADES健壮模型转换而来的攻击方法是的。 先决条件 Python(3.6.4) 火炬(0.4.1) CUDA 麻木 安装 我们建议使用Anaconda或Miniconda安装依赖项。 这是一个示例命令: $ wget https://repo.anaconda.com/archive/Anaconda3-5.1.0-Linux-x86_64.sh $ ba
利用超球嵌入来增强对抗训练
XP and Altoria
07-08 456
利用超球嵌入来增强对抗训练 这次介绍一篇NeurIPS2020的工作,“Boosting Adversarial Training with Hypersphere Embedding”,一作是清华的Tianyu Pang。 该工作主要是引入了一种技术,称之为Hypersphere Embedding,本文将其称作超球嵌入。 该方法和现有的一些对抗训练的变种是正交的,即可以互相融合提升效果。 这里指的对抗训练的变种有 ALP, TRADE 等 对抗训练框架 首先,如下图所示,我们列出来AT以及其变种,用
干货!我的科研生涯:从博士到博导
AITIME_HY的博客
08-14 412
点击蓝字关注我们AI TIME欢迎每一位AI爱好者的加入!本期AI TIME PhD直播间,我们有幸邀请到了张弘扬老师,张弘扬老师将分享他近期的一些研究成果,以及他从博士生到教授的工作经验...
KKT (LICQ)
MTandHJ的博客
03-22 4644
文章目录基本内容LICQ 假设KKT 定理KKT定理的证明引理A H. E. Krogstad, TMA 4180 Optimeringsteori KARUSH-KUHN-TUCKER THEOREM KKT条件在处理有约束问题的时候很有用, 但是对KKT的适用性一直不是很理解, 看了这篇讲解整理一下. 基本内容 问题 min⁡x∈Ωf(x),(1) \tag{1} \min_{x \in...
论文笔记 TIE: Principled Reverse Engineering of Types in Binary Programs
familyvirtue的专栏
08-14 1548
这篇论文讲述的是作者们发明的一种从二进制代码恢复到高级语言的逆向工程的一种新方法。这里只对其流程和思想进行介绍,详细的过程在后面再做讨论。高级语言在编译过程中丢失了buffer、structures和local variables等data abstractions。data abstractions恢复的逆向工程包括两个部分:  变量恢复(variable recovery),从low-le
利用特征可分性增强对抗训练
欢迎来到道的世界
06-01 695
1 引言 2 预备知识 3 论文方法 min⁡fθmax⁡∥x′−x∥p≤ϵL(fθ(x′),y)\min\limits_{f_\theta}\max\limits_{\|\bf{x}^{\prime}-\bf{x}\|_p\le \epsilon}\mathcal{L}(f_\theta({\bf{x}}^{\prime}),y)fθ​min​∥x′−x∥p​≤ϵmax​L(fθ​(x′),y) LFS(h,ATG,xi)=∑(x,xi′)∈Eca+(i)s(h(xi),h(xi′))+∑(x,xj)∈E
TraDeS解读
周先森爱吃素的博客
03-22 3729
解读Track to Detect and Segment: An Online Multi-Object Tracker这篇收录于CVPR2021的MOT领域的新作。
TraDeS:跟踪检测与分割:一种在线多目标跟踪器 论文解析
g_buerdeqingshu的博客
03-29 614
贡献: 1.提出新的通用型在线联合检测和跟踪模型,该模型还可以进行实例分割; 2.提出两个模型——CVA和MFW,前者用于提取特征和reid,后者根据运动信息进行预测并帮助检测; 3.在公开数据集上表现出色 方法: 在CenterNet的基础上修改 检测过程: 关联思路: 论文中给的框架图有点复杂,就根据文字描述,把整个过程梳理了一遍。 ...
If a computer has 32-bit CPU and memory address is 16-bit, how big is the logical address space and the physical memory address
最新发布
05-04
If the computer has a 32-bit CPU and a 16-bit memory address, the logical address space would be 2^32 bytes (4GB) and the physical memory address space would be 2^16 bytes (64KB). This means that the CPU can theoretically address up to 4GB of memory, but the actual amount of memory that can be accessed is limited by the size of the physical memory address space.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值