【ICML2021】对抗攻击最大平均差异

最大平均差异(MMD)检验原则上可以检测出两个数据集之间的任何分布差异。但过去的研究显示MMD检验不可感知对抗攻击——MMD检验不能用来检测自然数据和对抗数据之间的分布差异。

鉴于这种现象，作者提出了一个问题: 自然数据和对抗数据真的来自不同的分布吗? 答案是肯定的——本文发现并总结了过去研究中忽视的三个关键因素并对应地提出解决方式。第一，过去的方法中使用的高斯核函数的表达能力有限，对应地，本文提出有效的深度核函数来代替高斯核函数; 第二，过去的方法忽视对核函数中的参数进行优化，对应地，本文遵循渐近统计学（asymptotic statistics）, 使用部分数据计算近似的检验效果，并通过最大化该近似检验效果来优化深度核函数中的参数。第三，攻击者可能生成非独立同分布的对抗数据，对应地，本文使用wild bootstrap处理输入数据处理了这个隐患。

通过以上三点，本文证实了MMD检验对于对抗攻击的感知能力，为基于双样本检验（two-sample tests）的对抗数据检测提供了一条新的道路。