会员服务
ICML 2022 · 可信防御 · 数据注毒攻击 · 鲁棒性认证 ·
2022 年 6 月 18 日
【ICML2022】针对数据注毒攻击的集体鲁棒性认证
专知会员服务
专知会员服务
专知,提供专业可信的知识分发服务,让认知协作更快更好!

本文介绍被ICML 2022接收的新工作。我们提出了首个防御数据注毒攻击的集体鲁棒性认证方法(针对袋装算法Bagging)。 论文题目:On Collective Robustness of Bagging Against Data Poisoning 作者信息:Ruoxin Chen, Zenan Li, Jie Li*, Chentao Wu, Junchi Yan 关键词:可信防御,数据注毒攻击、鲁棒性认证、袋装法

动机:

**1)数据注毒攻击的可信防御:

数据注毒攻击是一种被广泛研究的攻击方式,现在已有许多工作研究相关的可信防御(certified defense), 包括:1)Deterministic bagging; 2)Random bagging; 3)Finite aggregation 等等,事实上,这些可信防御都可以归纳为Bagging的一种特殊形式。其主要思想为:1. bagging的子模型都是在子数据集上训练得到,这防止了一个训练样本影响所有的训练模型,即更改一个训练样本所影响的子模型数量是有限的。2. bagging输出所有子模型投票最多的那个类别,top1票数与top2票数之间存在的差值成就了bagging为基础的可信防御的鲁棒性。

**2)鲁棒性验证 (robustness certification):

现在的鲁棒性认证都集中于认证单个预测值的鲁棒性(sample-wise robustness certification),即:判断是否存在一种数据注毒攻击,能够改变指定的模型预测结果。然而,数据注毒攻击是一种天然的全局攻击,即:数据注毒攻击将会使得训练后的模型发生改变,这种改变可能会影响所有的模型预测结果。所以理所当然的,相比于验证单个预测结果是否会被数据注毒攻击改变,我们更需要关注数据注毒攻击对于整个测试集的全局影响,即:一个攻击强度受限(我们论文中定义攻击强度为:攻击者可以插入个任意的恶意训练样本,删除个已存在的训练样本以及任意修改个任意已存在的训练样本)的数据注毒攻击,最多能够改变多少个预测结果。实际上,现有的单点验证方法对测试集的每个样本一个个地验证也能给出预测改变数量的一个上界,但是该上界往往与真实上界差距极大,这是因为现有的鲁棒性认证方法并非将测试集看作一个总体,导致过于高估攻击的危害。

**预先知识(Preliminary):

威胁模型(Threat model):因为我们追求的是可信防御,且由于我们防御是适用于任意的模型的,所以我们假设攻击的最坏情况:对于分类模型而言,一旦其训练集被任意修改,那我么我们就认为该模型已经完全被攻击者操控(即攻击者能够任意指定其输出结果)。 单点鲁棒性验证(sample-wise robustness certification): 给定bagging的每个子训练集(对应每个子分类器的训练集)的分布,以及每个子分类器的输出类别,假设我们只能改变个训练样本,那么对于攻击者来说策略是:找到个训练样本,控制这些训练样本所能影响的子分类器的预测结果,使得最终的其他类别的票数大于等于原先top1类别的票数,则攻击成功。

**符号:

为了方便理解论文内容,我们先讲清楚我们的符号表示,如下:

**集体鲁棒性认证 (Collective certification):

我们主要思路就是非常简单,就是:在给定的攻击强度下(),我们该选择去攻击哪些训练样本,使得改变的预测结果数量最大化:

这里所求出的即是我们所能改变的预测结果数量的最大值。接下来我们分别解释每隔公式的含义: 式(2):为指示函数,表示攻击之后top1类别的得票数,表示攻击之后除top1类别之外的的得票数最大值,该式其实就在统计有多少的预测被改变了。 式(3):为01向量表示我们选择攻击哪些训练样本,其中表示选择攻击第个训练样本。 式(4),式(5):分别计算出攻击后的对于top1类别的最小投票数与其他类别的最大投票数。 最后我们求解该01线性整数规划问题(binary integer linear programming),即可求出,而不变预测数量至少为.

**鲁棒性上界 (Upper bound of robustness):

在探索了集体鲁棒性验证方法之后,我们接下来想要提升Bagging鲁棒性。我们提升鲁棒性的思路为:找到bagging的哪些因素会制约鲁棒性,然后改善那些因素。所以,我们给出以下结论,明确地给出bagging能容忍的注毒样本上界与bagging之间的关系: 该定理意思为:当攻击者找到个样本并注毒,这个样本可以影响大于等于一半的子训练集()时,那么攻击者可以改变任何预测结果,即我们的鲁棒性始终为0。注意到:计算精确的是一个NP-hard问题(最大集k覆盖问题)。于是我们转而限制,也就是第个训练样本同时存在于多少个训练集之中,如果我们能够限制,我们则能确定的是。保证了鲁棒性上界大于某个值。

**更好的bagging方案

根据鲁棒性上界的思想(限制),我们重新设计了Bagging的子训练集构造机制,Hash Bagging。其思想就是,将所有样本尽可能地平均分配到每个子训练集中,具体为:假设我们要将N个训练样本分成G个子训练集,我们计算出每个训练样本的哈希值,然后将训练样本分配到 第个子训练集。论文中我们还设计了更加泛用的子训练集构造方案,能够同时指定子训练集的数量与子训练集的大小,细节请看我们的论文。

**实验结果 (Experiment):

1) 我们对比了hash bagging与普通的bagging(随机选取训练样本分配到子训练集之中)效果

2) 在认证集体鲁棒性方面,我们对比了我们的collective certification与sample-wise certification:

更多的实验结果请看我们的论文~

**未来展望 (Future Work):

现在在防御数据注毒攻击方面,关于集体鲁棒性认证的工作还很少,我们希望能够将集体鲁棒性认证能够推广到更多的可信防御上。

成为VIP会员查看完整内容
On Collective Robustness of Bagging Against Data Poisoning
8

相关内容

国际机器学习大会(International Conference on Machine Learning,简称ICML ) 是由国际机器学习学会(IMLS)主办的机器学习国际顶级会议,也是CCF-A类学术会议。ICML 2022 共收到5630 投稿,接收1117 篇 short oral,118篇 long oral,录用率为21.94%。
【ICML2022】长尾识别中分布外检测的部分和非对称对比学习
【ICML2022】长尾识别中分布外检测的部分和非对称对比学习
专知会员服务
23+阅读 · 2022年7月5日
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
专知会员服务
24+阅读 · 2021年12月27日
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
专知会员服务
19+阅读 · 2021年10月26日
【ICML2021】逆约束强化学习
专知会员服务
31+阅读 · 2021年9月7日
【ICML2021】对抗攻击最大平均差异
专知会员服务
15+阅读 · 2021年8月13日
【ICML2021】轻量级结构多样化的网络结构
专知会员服务
27+阅读 · 2021年8月2日
【ICML2021】核持续学习,Kernel Continual Learning
专知会员服务
31+阅读 · 2021年7月15日
ICML2021图神经网络5篇论文的最新研究热点
专知会员服务
51+阅读 · 2021年6月14日
【ICML2021】基于经典迭代算法的图神经网络
专知会员服务
28+阅读 · 2021年5月21日
【ICML2021】有向图网络
专知会员服务
80+阅读 · 2021年5月10日
阿里达摩院最新FEDformer,长程时序预测全面超越SOTA | ICML 2022
阿里达摩院最新FEDformer,长程时序预测全面超越SOTA | ICML 2022
PaperWeekly
0+阅读 · 2022年7月12日
ICLR 2022 | 基于对抗自注意力机制的预训练语言模型
ICLR 2022 | 基于对抗自注意力机制的预训练语言模型
PaperWeekly
1+阅读 · 2022年7月6日
阿⾥达摩院最新FEDformer,⻓程时序预测全⾯超越SOTA|ICML 2022
阿⾥达摩院最新FEDformer,⻓程时序预测全⾯超越SOTA|ICML 2022
新智元
2+阅读 · 2022年6月27日
你的语言模型有没有“无法预测的词”?
你的语言模型有没有“无法预测的词”?
PaperWeekly
0+阅读 · 2022年4月23日
NLP数据增广不故障!清华大学提出FlipDA,轻松解决小样本任务|ACL 2022
NLP数据增广不故障!清华大学提出FlipDA,轻松解决小样本任务|ACL 2022
新智元
1+阅读 · 2022年4月9日
SuperGAT,如何自适应的设计图注意力方案:同质性和平均度数
SuperGAT,如何自适应的设计图注意力方案:同质性和平均度数
图与推荐
2+阅读 · 2022年1月17日
从Bayesian Deep Learning到Adversarial Robustness新范式
从Bayesian Deep Learning到Adversarial Robustness新范式
PaperWeekly
0+阅读 · 2021年12月29日
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
专知
0+阅读 · 2021年12月27日
浅谈NLP中的对抗训练方式
浅谈NLP中的对抗训练方式
PaperWeekly
2+阅读 · 2021年12月18日
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
专知
0+阅读 · 2021年10月26日
高维回归模型的预测稳定性研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于局部四元数极谐变换的鲁棒彩色图像水印方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
缓冲区长度有限的平行机在线调度模型及算法分析
国家自然科学基金
0+阅读 · 2013年12月31日
安全电子投票协议设计与分析
国家自然科学基金
1+阅读 · 2012年12月31日
加速寿命试验中小样本最优设计方法
国家自然科学基金
0+阅读 · 2012年12月31日
异质信道盲会合算法
国家自然科学基金
0+阅读 · 2012年12月31日
高维数据的假设检验
国家自然科学基金
0+阅读 · 2012年12月31日
基于半监督集成学习的不平衡数据研究
国家自然科学基金
0+阅读 · 2012年12月31日
动态云环境中基于SLA的工作流调度
国家自然科学基金
0+阅读 · 2012年12月31日
基于约束优化问题的模式搜索方法的研究
国家自然科学基金
0+阅读 · 2011年12月31日
Hybrid cuckoo search algorithm for the minimum dominating set problem
Arxiv
0+阅读 · 2022年8月5日
Parallel block preconditioners for virtual element discretizations of the time-dependent Maxwell equations
Parallel block preconditioners for virtual element discretizations of the time-dependent Maxwell equations
Arxiv
0+阅读 · 2022年8月4日
Efficiently Computing Directed Minimum Spanning Trees
Arxiv
0+阅读 · 2022年8月4日
Privacy-Preserving Image Classification Using ConvMixer with Adaptive Permutation Matrix
Arxiv
0+阅读 · 2022年8月4日
Interpretable bilinear attention network with domain adaptation improves drug-target prediction
Interpretable bilinear attention network with domain adaptation improves drug-target prediction
Arxiv
0+阅读 · 2022年8月3日
The Power and Limitation of Pretraining-Finetuning for Linear Regression under Covariate Shift
Arxiv
0+阅读 · 2022年8月3日
Global simulation envelopes for diagnostic plots in regression models
Arxiv
0+阅读 · 2022年8月3日
Engagement Decision Support for Beyond Visual Range Air Combat
Engagement Decision Support for Beyond Visual Range Air Combat
Arxiv
54+阅读 · 2021年11月4日
已删除
已删除
Arxiv
31+阅读 · 2020年3月23日
Heterogeneous Deep Graph Infomax
Heterogeneous Deep Graph Infomax
Arxiv
12+阅读 · 2019年11月19日
VIP会员
相关主题
ICML 2022
可信防御
数据注毒攻击
鲁棒性认证
相关VIP内容
【ICML2022】长尾识别中分布外检测的部分和非对称对比学习
【ICML2022】长尾识别中分布外检测的部分和非对称对比学习
专知会员服务
23+阅读 · 2022年7月5日
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
专知会员服务
24+阅读 · 2021年12月27日
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
专知会员服务
19+阅读 · 2021年10月26日
【ICML2021】逆约束强化学习
专知会员服务
31+阅读 · 2021年9月7日
【ICML2021】对抗攻击最大平均差异
专知会员服务
15+阅读 · 2021年8月13日
【ICML2021】轻量级结构多样化的网络结构
专知会员服务
27+阅读 · 2021年8月2日
【ICML2021】核持续学习,Kernel Continual Learning
专知会员服务
31+阅读 · 2021年7月15日
ICML2021图神经网络5篇论文的最新研究热点
专知会员服务
51+阅读 · 2021年6月14日
【ICML2021】基于经典迭代算法的图神经网络
专知会员服务
28+阅读 · 2021年5月21日
【ICML2021】有向图网络
专知会员服务
80+阅读 · 2021年5月10日
热门VIP内容
相关资讯
阿里达摩院最新FEDformer,长程时序预测全面超越SOTA | ICML 2022
阿里达摩院最新FEDformer,长程时序预测全面超越SOTA | ICML 2022
PaperWeekly
0+阅读 · 2022年7月12日
ICLR 2022 | 基于对抗自注意力机制的预训练语言模型
ICLR 2022 | 基于对抗自注意力机制的预训练语言模型
PaperWeekly
1+阅读 · 2022年7月6日
阿⾥达摩院最新FEDformer,⻓程时序预测全⾯超越SOTA|ICML 2022
阿⾥达摩院最新FEDformer,⻓程时序预测全⾯超越SOTA|ICML 2022
新智元
2+阅读 · 2022年6月27日
你的语言模型有没有“无法预测的词”?
你的语言模型有没有“无法预测的词”?
PaperWeekly
0+阅读 · 2022年4月23日
NLP数据增广不故障!清华大学提出FlipDA,轻松解决小样本任务|ACL 2022
NLP数据增广不故障!清华大学提出FlipDA,轻松解决小样本任务|ACL 2022
新智元
1+阅读 · 2022年4月9日
SuperGAT,如何自适应的设计图注意力方案:同质性和平均度数
SuperGAT,如何自适应的设计图注意力方案:同质性和平均度数
图与推荐
2+阅读 · 2022年1月17日
从Bayesian Deep Learning到Adversarial Robustness新范式
从Bayesian Deep Learning到Adversarial Robustness新范式
PaperWeekly
0+阅读 · 2021年12月29日
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
【AAAI2022】自适应的随机平滑防御的鲁棒性认证方法
专知
0+阅读 · 2021年12月27日
浅谈NLP中的对抗训练方式
浅谈NLP中的对抗训练方式
PaperWeekly
2+阅读 · 2021年12月18日
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
【NeurIPS2021】去掉softmax后Transformer会更好吗?复旦&华为诺亚提出SOFT:轻松搞定线性近似
专知
0+阅读 · 2021年10月26日
相关基金
高维回归模型的预测稳定性研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于局部四元数极谐变换的鲁棒彩色图像水印方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
缓冲区长度有限的平行机在线调度模型及算法分析
国家自然科学基金
0+阅读 · 2013年12月31日
安全电子投票协议设计与分析
国家自然科学基金
1+阅读 · 2012年12月31日
加速寿命试验中小样本最优设计方法
国家自然科学基金
0+阅读 · 2012年12月31日
异质信道盲会合算法
国家自然科学基金
0+阅读 · 2012年12月31日
高维数据的假设检验
国家自然科学基金
0+阅读 · 2012年12月31日
基于半监督集成学习的不平衡数据研究
国家自然科学基金
0+阅读 · 2012年12月31日
动态云环境中基于SLA的工作流调度
国家自然科学基金
0+阅读 · 2012年12月31日
基于约束优化问题的模式搜索方法的研究
国家自然科学基金
0+阅读 · 2011年12月31日
相关论文
Hybrid cuckoo search algorithm for the minimum dominating set problem
Arxiv
0+阅读 · 2022年8月5日
Parallel block preconditioners for virtual element discretizations of the time-dependent Maxwell equations
Parallel block preconditioners for virtual element discretizations of the time-dependent Maxwell equations
Arxiv
0+阅读 · 2022年8月4日
Efficiently Computing Directed Minimum Spanning Trees
Arxiv
0+阅读 · 2022年8月4日
Privacy-Preserving Image Classification Using ConvMixer with Adaptive Permutation Matrix
Arxiv
0+阅读 · 2022年8月4日
Interpretable bilinear attention network with domain adaptation improves drug-target prediction
Interpretable bilinear attention network with domain adaptation improves drug-target prediction
Arxiv
0+阅读 · 2022年8月3日
The Power and Limitation of Pretraining-Finetuning for Linear Regression under Covariate Shift
Arxiv
0+阅读 · 2022年8月3日
Global simulation envelopes for diagnostic plots in regression models
Arxiv
0+阅读 · 2022年8月3日
Engagement Decision Support for Beyond Visual Range Air Combat
Engagement Decision Support for Beyond Visual Range Air Combat
Arxiv
54+阅读 · 2021年11月4日
已删除
已删除
Arxiv
31+阅读 · 2020年3月23日
Heterogeneous Deep Graph Infomax
Heterogeneous Deep Graph Infomax
Arxiv
12+阅读 · 2019年11月19日
微信扫码咨询专知VIP会员
Top