在碎片化閱讀充斥眼球的時(shí)代，越來(lái)越少的人會(huì)去關(guān)注每篇論文背后的探索和思考。在這個(gè)欄目里，你會(huì)快速 get 每篇精選論文的亮點(diǎn)和痛點(diǎn)，時(shí)刻緊跟 AI 前沿成果。

本期我們篩選了 9?篇「對(duì)抗樣本」領(lǐng)域的最新論文，一起來(lái)看看讀過(guò)這些論文的推薦人的推薦理由與個(gè)人評(píng)價(jià)吧！

本期推薦人：孫裕道，北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院在讀博士生，主要研究方向?yàn)?GAN 圖像生成和人臉，情緒對(duì)抗樣本生成。

#Adversarial Attack

本文來(lái)自清華大學(xué)和騰訊 AI Lab。黑盒對(duì)抗攻擊是所有對(duì)抗攻擊中難度最高的，因?yàn)槟Ｐ偷慕Y(jié)構(gòu)和參數(shù)以及訓(xùn)練的數(shù)據(jù)集都未知，只能通過(guò)對(duì) AI 模型進(jìn)行查詢獲得信息。標(biāo)準(zhǔn)的 ES（進(jìn)化策略）算法可以進(jìn)行黑盒攻擊，其中高斯分布作為搜索分布被廣泛采用。然而，它可能不夠靈活，無(wú)法捕捉不同良性樣本周圍對(duì)抗擾動(dòng)的不同分布。

該論文提出了一個(gè)新的策略，通過(guò)一個(gè)基于條件流的模型將高斯分布變量轉(zhuǎn)換到另一個(gè)空間，以增強(qiáng)捕捉良性樣本上的對(duì)抗擾動(dòng)的內(nèi)在分布的能力和靈活性。此外還在一些白盒代理模型的基礎(chǔ)上，利用對(duì)抗擾動(dòng)在不同模型間的可傳遞性，對(duì)條件流模型進(jìn)行預(yù)訓(xùn)練。實(shí)驗(yàn)結(jié)果表明該策略可以同時(shí)利用基于查詢和基于轉(zhuǎn)移的攻擊方法，在有效性和效率上達(dá)到令人滿意的攻擊效果。

* 論文標(biāo)題：Efficient Black-Box Adversarial Attack Guided by the Distribution of Adversarial Perturbations

* 論文鏈接：http://www.paperweekly.site/papers/3861

#Adversarial Attack

本文來(lái)自丹麥奧爾堡大學(xué)。在對(duì)抗樣本的防御中，神經(jīng)網(wǎng)絡(luò)的魯棒性是一個(gè)重要的方向，但是很多研究對(duì)魯棒性的定義不盡相同，缺乏精確的共同基礎(chǔ)的魯棒性概念。

在該論文中，作者提出了一個(gè)嚴(yán)格而靈活的框架來(lái)定義不同類型的魯棒性，這有助于解釋魯棒性和泛化之間的相互作用。論文也給出了最小化相應(yīng)損失函數(shù)的有效方法。一個(gè)損失是為了增強(qiáng)對(duì)抗非流形攻擊的魯棒性，另一個(gè)損失是為了提高給定數(shù)據(jù)分布下的泛化能力。

實(shí)驗(yàn)結(jié)果表明，與目前最先進(jìn)的數(shù)據(jù)增強(qiáng)和正則化技術(shù)相比，我們可以在不同的魯棒性目標(biāo)下進(jìn)行有效的訓(xùn)練，獲得更高的魯棒性得分和更好的泛化能力。

* 論文標(biāo)題：A general framework for defining and optimizing robustness

* 論文鏈接：http://www.paperweekly.site/papers/3905

#Adversarial Training

本文來(lái)自多倫多大學(xué)的向量研究所。對(duì)抗訓(xùn)練是提高深度神經(jīng)網(wǎng)絡(luò)魯棒性的常用方法。該論文用一種新的正則化方法代替對(duì)抗訓(xùn)練。在魯棒優(yōu)化框架下建立了對(duì)抗魯棒性問(wèn)題，提出了一個(gè)二階對(duì)抗正則化器（SOAR），通過(guò)二階泰勒級(jí)數(shù)展開(kāi)逼近損失函數(shù)，實(shí)驗(yàn)表明，該方法提高了網(wǎng)絡(luò)對(duì) CIFAR10 數(shù)據(jù)集的魯棒性。論文推薦指數(shù)：3顆星。

* 論文標(biāo)題：Adversarial Robustness through Regularization: A Second-Order Approach

* 論文鏈接：https://www.paperweekly.site/papers/3897

#Contrastive Learning

本文來(lái)自韓國(guó)科學(xué)技術(shù)院。現(xiàn)有對(duì)抗樣本生成方法（如 FGSM，PGD，CW，JSMA，和 AdvGAN 等）大多使用類標(biāo)簽來(lái)生成導(dǎo)致 AI 模型預(yù)測(cè)錯(cuò)誤。為了提高模型的魯棒性會(huì)利用對(duì)抗樣本進(jìn)行對(duì)抗訓(xùn)練。

該文提出了一種新的針對(duì)未標(biāo)記數(shù)據(jù)的對(duì)抗攻擊方法，并且提出了一個(gè)自監(jiān)督對(duì)比學(xué)習(xí)框架來(lái)訓(xùn)練一個(gè)無(wú)標(biāo)記數(shù)據(jù)的魯棒神經(jīng)網(wǎng)絡(luò)，其目的是最大限度地提高增強(qiáng)的數(shù)據(jù)樣本與對(duì)抗擾動(dòng)之間的相似性。實(shí)驗(yàn)結(jié)果表明，該方法獲得了與最先進(jìn)的監(jiān)督對(duì)抗性學(xué)習(xí)方法相當(dāng)?shù)聂敯艟?#xff0c;并且顯著提高了對(duì)黑盒攻擊和不可見(jiàn)攻擊的魯棒性。

* 論文標(biāo)題：Adversarial Self-Supervised Contrastive Learning

* 論文鏈接：https://www.paperweekly.site/papers/3869

#CVPR?2020

本文是中國(guó)電子科技大學(xué)和曠視科技發(fā)表于 CVPR 2020?的工作。機(jī)器學(xué)習(xí)模型存在對(duì)抗性樣本攻擊的可能性。黑盒攻擊模式下，當(dāng)前的替身攻擊（Substitute Attacks）需要使用預(yù)訓(xùn)練模型生成對(duì)抗性樣本，再通過(guò)樣本遷移性攻擊目標(biāo)模型。但是實(shí)際任務(wù)中，獲得這樣的預(yù)訓(xùn)練模型很困難。

本文提出一種替身模型訓(xùn)練方法——DaST，無(wú)需任何真實(shí)數(shù)據(jù)即可獲得對(duì)抗性黑盒攻擊的替身模型。DaST 利用專門(mén)設(shè)計(jì)的生成對(duì)抗網(wǎng)絡(luò)（GAN）訓(xùn)練替身模型，并且針對(duì)生成模型設(shè)計(jì)多分支架構(gòu)和標(biāo)簽控制損失，以處理 GAN 生成數(shù)據(jù)分布不勻的問(wèn)題。然后，使用 GAN 生成器生成的樣本訓(xùn)練分類器（即替身模型），樣本的標(biāo)簽為目標(biāo)模型的輸出。

實(shí)驗(yàn)表明，相較基準(zhǔn)替身模型，DaST 生產(chǎn)的替身模型可實(shí)現(xiàn)具有競(jìng)爭(zhēng)力的性能。此外，為評(píng)估所該方法的實(shí)用性，本文在 Microsoft Azure 平臺(tái)上攻擊了在線機(jī)器學(xué)習(xí)模型，在線模型錯(cuò)誤地分類了本文方法生成的 98.35％?的對(duì)抗性樣本。據(jù)知，這是首個(gè)無(wú)需任何真實(shí)數(shù)據(jù)即可生成替身模型并用來(lái)產(chǎn)生對(duì)抗攻擊的工作。

* 論文標(biāo)題：DaST: Data-free Substitute Training for Adversarial Attacks

* 論文鏈接：http://www.paperweekly.site/papers/3901

*?源碼鏈接：https://github.com/zhoumingyi/DaST

#Adversarial Examples

本文來(lái)自新澤西理工學(xué)院。黑盒對(duì)抗攻擊由于無(wú)法獲取模型的參數(shù)信息和網(wǎng)絡(luò)結(jié)構(gòu)信息，只能通過(guò)查詢的方式獲取分類結(jié)果信息，所以對(duì)抗樣本的可遷移性是攻擊黑盒模型很重要的特性。

本文證明了黑盒攻擊對(duì) 0-1 損失模型的有效性低于凸模型，并且 0-1 損失模型攻擊對(duì)凸模型和 0-1 損失模型都無(wú)效。實(shí)驗(yàn)結(jié)果表明，在雙層神經(jīng)網(wǎng)絡(luò)中，0-1 損失的不連續(xù)性會(huì)使得對(duì)抗樣本在 AI 模型之間不可遷移。

* 論文標(biāo)題：On the transferability of adversarial examples between convex and 01 loss models

* 論文鏈接：https://www.paperweekly.site/papers/3877

*?源碼鏈接：https://github.com/zero-one-loss/mlp01

#IJCAI?2019

本文來(lái)自阿里巴巴。對(duì)抗樣本可以導(dǎo)致機(jī)器學(xué)習(xí)模型的誤分類，對(duì)抗樣本中對(duì)抗擾動(dòng)的可以基于梯度方法生成如 FGSM，PGD，也可以基于優(yōu)化的方法生成如 CW 和 JSMA，但這些方法產(chǎn)生的擾動(dòng)只依賴于輸入圖像。

本文提出了一個(gè)通用的框架，可以根據(jù)輸入圖像和目標(biāo)標(biāo)簽推斷目標(biāo)條件擾動(dòng)。與以往的單目標(biāo)攻擊模型不同，該模型通過(guò)學(xué)習(xí)攻擊目標(biāo)與圖像語(yǔ)義的關(guān)系來(lái)進(jìn)行目標(biāo)條件攻擊。通過(guò)對(duì) MNIST 和 CIFAR10 數(shù)據(jù)集的大量實(shí)驗(yàn)，證明了該方法在單目標(biāo)攻擊模型下取得了較好的性能，在小擾動(dòng)范數(shù)下獲得了較高的欺騙率。

* 論文標(biāo)題：GAP++: Learning to generate target-conditioned adversarial example

* 論文鏈接：http://www.paperweekly.site/papers/3830

#Recommender Systems

推薦系統(tǒng)（RS）在各大軟件平臺(tái)得到的廣泛的應(yīng)用，如影視推薦，音樂(lè)推薦，新聞推薦，書(shū)單推薦等。但近些年來(lái)的研究表明，推薦系統(tǒng)容易受到對(duì)抗樣本的攻擊，用戶交互數(shù)據(jù)可能受到惡意活動(dòng)或用戶誤操作的污染，從而導(dǎo)致不可預(yù)測(cè)的自然噪聲和危害推薦結(jié)果。

本文詳細(xì)介紹了當(dāng)前有關(guān)攻擊和防御推薦模型的最新進(jìn)展，并且提供了 60 多篇主要發(fā)表在 RS（推薦系統(tǒng)）和 ML（機(jī)器學(xué)習(xí)）的期刊和會(huì)議上的文章。該論文為 RS 社區(qū)提供了參考，致力于推薦模型的安全性。

* 論文標(biāo)題：Adversarial Machine Learning in Recommender Systems: State of the art and Challenges

* 論文鏈接：http://www.paperweekly.site/papers/3846

#Adversarial Examples

本文來(lái)自 UC San Diego。Deepfake 技術(shù)使得假視頻生成更加容易，在多媒體環(huán)境中導(dǎo)致假視頻泛濫，滋生虛假信息，降低媒體的信任度。因此，對(duì)假視頻的檢測(cè)引起了學(xué)術(shù)界和工業(yè)界的極大興趣。最近發(fā)展起來(lái)的依靠深度神經(jīng)網(wǎng)絡(luò)的視頻檢測(cè)方法可以區(qū)分人工智能生成的假視頻和真實(shí)視頻。

本文證明了對(duì)現(xiàn)有 Deepfake 方法合成的假視頻進(jìn)行反向修改來(lái)繞過(guò) Deepfake 檢測(cè)器的可能性，并且在白盒和黑盒攻擊場(chǎng)景中通過(guò)提供管道，可以欺騙基于 DNN 的 Deepfake 檢測(cè)器，將假視頻分類為真實(shí)視頻。

* 論文標(biāo)題：Adversarial Deepfakes: Evaluating Vulnerability of Deepfake Detectors to Adversarial Examples

* 論文鏈接：http://www.paperweekly.site/papers/3844

更多閱讀

????

現(xiàn)在，在「知乎」也能找到我們了

進(jìn)入知乎首頁(yè)搜索「PaperWeekly」

點(diǎn)擊「關(guān)注」訂閱我們的專欄吧

關(guān)于PaperWeekly

PaperWeekly 是一個(gè)推薦、解讀、討論、報(bào)道人工智能前沿論文成果的學(xué)術(shù)平臺(tái)。如果你研究或從事 AI 領(lǐng)域，歡迎在公眾號(hào)后臺(tái)點(diǎn)擊「交流群」，小助手將把你帶入 PaperWeekly 的交流群里。

總結(jié)

以上是生活随笔為你收集整理的建议收藏！近期值得读的 9 篇「对抗样本」最新论文的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。