作者 | Wieland Brendel
编译 | Xiaowen
2018年NIP视觉对抗挑战的获胜者已经确定。总体而言,400多名参与者提交了3000多个模型。今年的竞争重点是在现实世界中,攻击对模型的低容量查询访问(每个样本多达1000个查询)。模型只返回他们的最终决定,但没有梯度或置信分数。这模拟了部署的机器学习系统的典型威胁场景,并被认为推动了高效的基于决策的攻击以及更健壮的模型的开发。
所有获奖者的表现至少比标准基线好一个数量级 (就中位L2扰动大小而言) (比如从vanilla模型转移或vanilla边界攻击)。我们询问了每个项目上的前3名 (防御、非目标攻击、目标攻击),以获得它们的方法概要,你可以在下面找到它们的答案。获奖者将在12月7日9:15-10:30的NIP竞赛研讨会上介绍他们的方法。
在攻击项目上获胜的一个共同主题是以低频版本的边界攻击和不同防御系统作为替代模型。在模型跟踪中,获胜队伍使用新的稳健模型公式,并使用一种新的基于梯度的迭代L2攻击来进行对抗性训练。我们将在未来几周发布另一篇文章,提供更详细的结果,包括针对防御模型生成的对抗性例子的可视化。获奖作品将在未来几周发布。
Defense
第一名:Petuum-CMU (91YXLT in the competition)
Yaodong Yu*, Hongyang Zhang*, Susu Xu, Hongbao Zhang, Pengtao Xieand Eric P. Xing (*: equal contribution), Petuum Inc, Carnegie Mellon University, University of Virginia.
为了学习对抗性实例具有鲁棒性的深层网络,我们分析了鲁棒模型对抗性实例的泛化性能。在此基础上,我们提出了一种新的学习具有泛化和鲁棒保证的鲁棒模型的公式。
第二名:Team Wilson
Xuefei Ning, Wenshuo Li, Yu Wang (Tsinghua University, Beijing, China)
对抗性训练采用相互学习,对黑盒子生成的例子和白盒生成的例子都进行了分析。
第三名:Team LIVIA (JeromeR on the leaderboard)
Jérôme Rony & Luiz Gustavo Hafemann (ETS Montreal, Canada)
我们使用我们提出的一种新的基于迭代梯度的L2攻击 (解耦方向和范数 - DDN) 训练了一个鲁棒模型,该模型足够快,可以在训练中使用。在每个训练步骤中,我们找到一个接近决策边界的对抗性示例(使用DDN),并最小化该示例的交叉熵。模型体系结构没有变化,对推理时间也没有影响。
Untargeted Attacks
第一名:Team LIVIA (JeromeR on the leaderboard)
Jérôme Rony & Luiz Gustavo Hafemann (ETS Montreal, Canada)
我们的攻击基于代理模型的集合 (包括经过新攻击训练的鲁棒模型,我们提出了 - Decoupled Direction and Norm — DDN)。对于每个模型,我们选择了两个攻击方向:原始类的交叉熵损失梯度和运行DDN攻击所给出的方向。对于每个方向,我们对范数进行二值搜索,以求决策边界。我们采取最好的攻击,并完善它的边界攻击。
第二名:Team TSAIL (csy530216 on the leaderboard)
Shuyu Cheng & Yinpeng Dong (Tsinghua University, China)
我们使用启发式搜索算法来细化对抗性的例子,这与边界攻击有着相似的思想。BIM攻击发现起始点,使用对抗性Logit Pairing baseline进行传输。在每一次迭代中,随机扰动都是从高斯分布中采样的,它具有一个对角协方差矩阵,并通过过去成功的试验进行更新,以建立搜索方向的模型。我们限制了64*64*3图像中心40*40*3区域内的扰动。我们首先产生10*10*3噪声,然后用双线性插值将其大小调整为40*40*3。限制搜索空间使得算法效率更高。
第三名:Petuum-CMU (91YXLT on the leaderboard)
Yaodong Yu*, Hongyang Zhang*, Susu Xu, Hongbao Zhang, Pengtao Xieand Eric P. Xing (*: equal contribution), Petuum Inc, Carnegie Mellon University, University of Virginia.
我们集成了不同的鲁棒模型和不同的对抗攻击方法,在 Foolbox 的几个距离度量下产生对抗扰动。另外,我们选择了在不同距离度量下攻击鲁棒模型时最大距离最小化的最佳攻击。
Targeted Attacks
第一名:Team Petuum-CMU (91YXLT on the leaderboard)
Yaodong Yu*, Hongyang Zhang*, Susu Xu, Hongbao Zhang, Pengtao Xieand Eric P. Xing (*: equal contribution), Petuum Inc, Carnegie Mellon University, University of Virginia.
我们集成了不同的鲁棒模型和不同的对抗性攻击方法,从而生成对抗性扰动。我们发现,集成方法使得我们的目标攻击模型对于各种鲁棒模型更加有效。
第二名:Team fortiss (ttbrunner on the leaderboard)
Thomas Brunner, Frederik Diehl &Michael Truong Le, Fortiss GmbH
我们的攻击工作类似于边界攻击,但不从随机正态分布中取样。在其他方面,我们采用低频模式,传输良好,不易被防守者过滤。我们还使用替代模型的投影梯度作为抽样的先验。通过这种方式,我们将两个世界的优点 (PGD和边界攻击) 结合在一起,形成一种既灵活又高效的攻击。
第三名:Team LIVIA (JeromeR on the leaderboard)
Jérôme Rony & Luiz Gustavo Hafemann (ETS Montreal, Canada)
我们的攻击基于代理模型的集合 (包括经过新攻击训练的鲁棒模型,我们提出了 - Decoupled Direction and Norm — DDN)。对于每个模型,我们选择了两个攻击方向:原始类的交叉熵损失梯度和运行DDN攻击所给出的方向。对于每个方向,我们对范数进行二值搜索,以求决策边界。我们采取最好的攻击,并完善它的边界攻击。
原文链接:
https://medium.com/bethgelab/results-of-the-nips-adversarial-vision-challenge-2018-e1e21b690149
-END-
专 · 知
人工智能领域26个主题知识资料全集获取与加入专知人工智能服务群: 欢迎微信扫一扫加入专知人工智能知识星球群,获取专业知识教程视频资料和与专家交流咨询!
请PC登录www.zhuanzhi.ai或者点击阅读原文,注册登录专知,获取更多AI知识资料!
请加专知小助手微信(扫一扫如下二维码添加),加入专知主题群(请备注主题类型:AI、NLP、CV、 KG等)交流~
请关注专知公众号,获取人工智能的专业知识!
点击“阅读原文”,使用专知