对抗机器学习(Adverserial Machine Learning)作为机器学习研究中的安全细分方向,在一定程度上保证模型的安全性

VIP内容

摘要

深度学习(Deep Learning, DL)是当前计算机视觉领域应用最广泛的工具。它精确解决复杂问题的能力被用于视觉研究,以学习各种任务的深度神经模型,包括安全关键应用。然而,现在我们知道,DL很容易受到对抗性攻击,这些攻击可以通过在图像和视频中引入视觉上难以察觉的扰动来操纵它的预测。自2013年~[1]发现这一现象以来,引起了机器智能多个子领域研究人员的极大关注。在[2]中,我们回顾了计算机视觉社区在深度学习的对抗性攻击(及其防御)方面所做的贡献,直到2018年到来。这些贡献中有许多启发了这一领域的新方向,自见证了第一代方法以来,这一领域已显著成熟。因此,作为[2]的后续成果,本文献综述主要关注自2018年以来该领域的进展。为了确保文章的真实性,我们主要考虑计算机视觉和机器学习研究的权威文献。除了全面的文献综述外,本文还为非专家提供了该领域技术术语的简明定义。最后,本文在文献综述和[2]的基础上,讨论了该方向面临的挑战和未来的展望。

https://www.zhuanzhi.ai/paper/884c8b91ceec8cdcd9d3d0cc7bd2cf85

引言

深度学习(DL)[3]是一种数据驱动技术,可以在大数据集上精确建模复杂的数学函数。它最近为科学家在机器智能应用方面提供了许多突破。从DNA[4]的突变分析到脑回路[5]的重建和细胞数据[6]的探索; 目前,深度学习方法正在推进我们对许多前沿科学问题的知识。因此,机器智能的多个当代子领域迅速采用这种技术作为“工具”来解决长期存在的问题也就不足为奇了。随着语音识别[7]和自然语言处理[8],计算机视觉是目前严重依赖深度学习的子领域之一。

计算机视觉中深度学习的兴起是由Krizhevsky等人在2012年的开创性工作触发的,他们报告了使用卷积神经网络(CNN)[11]在硬图像识别任务[10]上的记录性能改善。自[9]以来,计算机视觉社区对深度学习研究做出了重大贡献,这导致了越来越强大的神经网络[12]、[13]、[14],可以在其架构中处理大量层——建立了“深度”学习的本质。计算机视觉领域的进步也使深度学习能够解决人工智能(AI)的复杂问题。例如,现代人工智能的一个最高成就,即tabula-rasa learning[15],很大程度上要归功于源于计算机视觉领域的残差学习[12]。

由于深度学习[15]的(明显)超人类能力,基于计算机视觉的人工智能被认为已经达到部署在安全和安保关键系统所需的成熟度。汽车自动驾驶[18],ATM的面部识别[19]和移动设备的面部识别技术[20]都是一些早期的真实世界的例子,描绘了现代社会对计算机视觉解决方案的发展信念。随着高度活跃的基于深度学习的视觉研究,自动驾驶汽车[21],人脸识别[22],[23],机器人[24]和监控系统[25]等,我们可以预见,深度学习在关键安全计算机视觉应用中的无处不在。然而,由于深度学习[1]的对抗漏洞的意外发现,人们对这种前景产生了严重的担忧。

Szegedy等人[1]发现,深度神经网络预测可以在极低量级输入扰动下被操纵。对于图像而言,这些扰动可以限制在人类视觉系统的不可感知范围内,但它们可以完全改变深度视觉模型的输出预测(见图1)。最初,这些操纵信号是在图像分类任务[1]中发现的。然而,它们的存在现在已被公认为各种主流计算机视觉问题,如语义分割[27],[28];目标检测[29],[30];目标跟踪[31],[32]。文献强调了对抗式干扰的许多特征,这使它们对作为实用技术的深度学习构成了真正的威胁。例如,可以反复观察到,受攻击的模型通常对操纵图像[2],[17]的错误预测具有很高的置信度。同样的微扰常常可以欺骗多个模型[33],[34]。文献也见证了预先计算的扰动,称为普遍扰动,可以添加到“任何”图像,以高概率[35],[36]欺骗给定模型。这些事实对关键安全应用有着深远的影响,特别是当人们普遍认为深度学习解决方案具有超越人类能力[15],[37]的预测能力时。

由于其重要性,对抗性攻击(及其防御)的话题在过去五年中受到了研究团体的相当大的关注。在[2]中,我们调研了这个方向的贡献,直到2018年到来。这些工作中的大多数可以被视为第一代技术,探索核心算法和技术,以欺骗深度学习或防御它的对抗性攻击。其中一些算法激发了后续方法的灵感,进一步改进和适应核心攻击和防御技术。这些第二代方法也被发现更多地关注其他视觉任务,而不仅仅是分类问题,这是这一方向早期贡献的主要兴趣主题。

自2018年以来,该研究方向的论文发表数量不断增加(见图2-a,b)。当然,这些出版物也包括文献综述的实例,如[38],[39],[40],[41],[42]。我们在这里提供的文献综述在许多方面不同于现有的综述。这篇文章的独特之处在于它是2的继承。随后的调研,如[41],通常紧跟[2];或者针对特定问题在[2]上建立[42]。近年来,这一方向在计算机视觉领域已经显著成熟。通过构建[2]和后续文献的见解,我们能够为这一快速发展的研究方向提供更精确的技术术语定义。这也导致了本文所回顾的文献的更连贯的结构,为此我们提供了基于研究团体当前对术语的理解的简明讨论。此外,我们关注出现在著名的计算机视觉和机器学习研究出版刊物的论文。专注于领先的贡献使我们能够为计算机视觉和机器学习研究人员提供一个更清晰的方向展望。更不用说,本文回顾了这个快速发展领域的最新贡献,以提供迄今为止在这个方向上最全面的回顾。

本文的其余部分组织如下。在第二节中,我们提供了本文其余部分中使用的技术术语的定义。在第三节中,我们阐述了对抗性攻击这一更广泛的问题。第一代攻击将在第四节中讨论,接下来是第五节中关注分类问题的最近的攻击。我们在第六节中关注分类问题之外的最近的攻击,在第七节中关注针对物理世界的量身定制的攻击。更多侧重于存在对抗性例子的理论方面的贡献将在第九节中讨论。最近的防御方法是第十部分的主题。文章对第十一部分的文献趋势进行了反思,并对这一研究方向的前景和未来方向进行了讨论。最后,我们在第十二节结束。

成为VIP会员查看完整内容
0
29
参考链接
Top