Towards robust neural networks via a global and monotonically decreasing robustness training strategy 被引量：1

1

作者 Zhen LIANG Taoran WU +4 位作者 Wanwei LIU Bai XUE Wenjing YANG Ji WANG Zhengbin PANG 《Frontiers of Information Technology & Electronic Engineering》 SCIE EI CSCD 2023年第10期1375-1389,共15页

Robustness of deep neural networks(DNNs)has caused great concerns in the academic and industrial communities,especially in safety-critical domains.Instead of verifying whether the robustness property holds or not in c... Robustness of deep neural networks(DNNs)has caused great concerns in the academic and industrial communities,especially in safety-critical domains.Instead of verifying whether the robustness property holds or not in certain neural networks,this paper focuses on training robust neural networks with respect to given perturbations.State-of-the-art training methods,interval bound propagation(IBP)and CROWN-IBP,perform well with respect to small perturbations,but their performance declines significantly in large perturbation cases,which is termed“drawdown risk”in this paper.Specifically,drawdown risk refers to the phenomenon that IBPfamily training methods cannot provide expected robust neural networks in larger perturbation cases,as in smaller perturbation cases.To alleviate the unexpected drawdown risk,we propose a global and monotonically decreasing robustness training strategy that takes multiple perturbations into account during each training epoch(global robustness training),and the corresponding robustness losses are combined with monotonically decreasing weights(monotonically decreasing robustness training).With experimental demonstrations,our presented strategy maintains performance on small perturbations and the drawdown risk on large perturbations is alleviated to a great extent.It is also noteworthy that our training method achieves higher model accuracy than the original training methods,which means that our presented training strategy gives more balanced consideration to robustness and accuracy. 展开更多

关键词 Robust neural networks training method Drawdown risk Global robustness training Monotonically decreasing robustness

原文传递

谛听:面向鲁棒分布外样本检测的半监督对抗训练方法

2

作者 周志阳 窦文生 +4 位作者 李硕 亢良伊 王帅 刘杰 叶丹 《软件学报》 EI CSCD 北大核心 2024年第6期2936-2950,共15页

检测训练集分布之外的分布外(out-of-distribution,OOD)样本对于深度神经网络(deep neural network,DNN)分类器在开放环境的部署至关重要.检测OOD样本可以视为一种二分类问题,即把输入样本分类为“分布内(in-distribution,ID)”类或“... 检测训练集分布之外的分布外(out-of-distribution,OOD)样本对于深度神经网络(deep neural network,DNN)分类器在开放环境的部署至关重要.检测OOD样本可以视为一种二分类问题,即把输入样本分类为“分布内(in-distribution,ID)”类或“分布外”类.进一步地,检测器自身还可能遭受到恶意的对抗攻击而被再次绕过.这些带有恶意扰动的OOD样本称为对抗OOD样本.构建鲁棒的OOD检测器以检测对抗OOD样本是一项更具挑战性的任务.为习得可分离且对恶意扰动鲁棒的表示,现有方法往往利用辅助的干净OOD样本邻域内的对抗OOD样本来训练DNN.然而,由于辅助的OOD训练集与原ID训练集的分布差异,训练对抗OOD样本无法足够有效地使分布内决策边界对对抗扰动真正鲁棒.从ID样本的邻域内生成的对抗ID样本拥有与原ID样本近乎一样的语义信息,是一种离分布内区域更近的OOD样本,对提升分布内边界对对抗扰动的鲁棒性很有效.基于此,提出一种半监督的对抗训练方法——谛听,来构建鲁棒的OOD检测器,用以同时检测干净OOD样本和对抗OOD样本.谛听将对抗ID样本视为一种辅助的“近OOD”样本,并将其与其他辅助的干净OOD样本和对抗OOD样本联合训练DNN,以提升OOD检测的鲁棒性.实验结果表明,谛听在检测由强攻击生成的对抗OOD样本上具有显著的优势,同时在原分类主任务及检测干净OOD样本上保持先进的性能. 展开更多

关键词 分布外样本检测 对抗鲁棒性 对抗训练

下载PDF 职称材料

基于编码-解码网络的大容量鲁棒图像隐写方案

3

作者 董炜娜 刘佳 +2 位作者 潘晓中 陈立峰 孙文权 《计算机应用》 CSCD 北大核心 2024年第3期772-779,共8页

针对基于编码-解码网络的大容量隐写模型存在鲁棒性弱、无法抵抗噪声攻击和信道压缩的问题,提出一种基于编码-解码网络的大容量鲁棒图像隐写方案。首先,设计了基于密集连接卷积网络(DenseNet)的编码器、解码器和判别器,编码器将秘密信... 针对基于编码-解码网络的大容量隐写模型存在鲁棒性弱、无法抵抗噪声攻击和信道压缩的问题,提出一种基于编码-解码网络的大容量鲁棒图像隐写方案。首先,设计了基于密集连接卷积网络(DenseNet)的编码器、解码器和判别器,编码器将秘密信息和载体图像联合编码成隐写图像,解码器提取秘密信息,判别器用于区分载体图像和隐写图像。在编码器和解码器中间加入噪声层,采用Dropout、JPEG压缩、高斯模糊、高斯噪声和椒盐噪声模拟真实环境下的各类噪声攻击,编码器输出的隐写图像经过不同种类的噪声处理,再由解码器解码;通过训练模型,解码器能够对噪声处理后的隐写图像提取秘密信息,以抵抗噪声攻击。实验结果表明,所提方案在360×360像素的图像上隐写容量达到0.45~0.95 bpp,与次优的鲁棒隐写方案相比,相对嵌入容量提升了2.04倍;解码准确率可达0.72~0.97;与未添加噪声层的隐写方案相比,平均解码准确率提高了44个百分点。所提方案在保证高嵌入量、高编码图片质量的同时具有更强的抗噪声攻击能力。 展开更多

关键词 深度学习 信息隐藏 图像隐写 大容量 鲁棒性 编码-解码网络 对抗性训练

下载PDF 职称材料

基于节点特征对抗性攻击的图对比学习鲁棒性验证

4

作者 邢宇杰 王啸 +2 位作者 石川 黄海 崔鹏 《清华大学学报（自然科学版）》 EI CAS CSCD 北大核心 2024年第1期13-24,共12页

最近的许多工作已经表明图神经网络在面对图结构扰动以及节点特征扰动的对抗攻击时表现出非鲁棒性,其预测结果可能是不可靠的,图对比学习方法中也存在这一问题。然而已有的鲁棒性测度方法通常与攻击算法、数据标签以及下游任务相关,这... 最近的许多工作已经表明图神经网络在面对图结构扰动以及节点特征扰动的对抗攻击时表现出非鲁棒性,其预测结果可能是不可靠的,图对比学习方法中也存在这一问题。然而已有的鲁棒性测度方法通常与攻击算法、数据标签以及下游任务相关,这些在自监督设置下图对比学习的鲁棒性测度中是应当尽量避免的。该文提出了基于节点特征对抗性攻击的图对比学习鲁棒性验证算法,来验证节点特征扰动下的图卷积网络的鲁棒性。考虑到图对比学习模型中正负例对的特性,将图对比学习鲁棒性验证问题定义为对抗样本与目标节点及其负例之间相似度比较的问题,并将该问题形式化建模为一个动态规划问题,从而解决了对攻击算法、数据标签以及下游任务的依赖问题。为了求解该动态规划问题,针对图数据通常采用的二元特征,设计了相应的扰动空间;考虑到图对比学习中负例样本空间过大的挑战,设计了负例样本采样策略来提升求解问题的效率;由于二元离散特征和非线性激活函数使得动态规划问题难于求解,对它们分别采用放松到连续数据域和非线性激活放松的方式,并采用寻找对偶问题的方式进一步提高求解效率。通过充分的实验说明了所提出的图对比学习鲁棒性验证算法的有效性;同时验证了针对特定攻击算法设计的图对比学习模型的鲁棒性不具有可泛化性,面对其他的攻击算法可能表现得更加脆弱;还通过参数实验说明了设计的负例样本采样策略是合理的。 展开更多

关键词 图对比学习 图卷积网络 鲁棒性验证 对抗攻击 对抗训练

原文传递

基于对抗训练的事件要素识别方法

5

作者 廖涛 沈文龙 +1 位作者 张顺香 马文祥 《计算机工程与设计》 北大核心 2024年第2期540-545,共6页

针对目前大多数事件要素识别模型未考虑词级别的语义信息,及模型鲁棒性不高的问题,提出一种融合词信息和对抗训练的事件要素识别方法。将Bert(bidirectional encode representations from transformers)预训练语言模型生成的字向量与分... 针对目前大多数事件要素识别模型未考虑词级别的语义信息,及模型鲁棒性不高的问题,提出一种融合词信息和对抗训练的事件要素识别方法。将Bert(bidirectional encode representations from transformers)预训练语言模型生成的字向量与分词信息进行融合,在得到的融合向量中添加扰动因子产生对抗样本,将对抗样本与融合向量表示作为编码层的输入;采用BiGRU(bidirectional gating recurrent unit)网络对输入的文本进行编码,丰富文本的上下文语义信息;采用CRF(conditional random field)函数计算完成事件要素的识别任务。在CEC(Chinese emergency corpus)中文突发事件语料库上的实验结果表明,该方法能够取得较好的效果。 展开更多

关键词 事件要素识别 鲁棒性 词信息 对抗训练 预训练语言模型 扰动因子 上下文语义信息

下载PDF 职称材料

基于触发器逆向的联邦学习后门防御方法

6

作者 林怡航 周鹏远 +1 位作者 吴治谦 廖勇 《信息网络安全》 CSCD 北大核心 2024年第2期262-271,共10页

联邦学习作为一种新兴分布式机器学习范式,实现了多客户间的分布式协同模型训练,不需要上传用户的原始数据,从而保护了用户隐私。然而,在联邦学习中由于服务器无法审查客户端的本地数据集,恶意客户端可通过数据投毒将后门嵌入全局模型... 联邦学习作为一种新兴分布式机器学习范式,实现了多客户间的分布式协同模型训练,不需要上传用户的原始数据,从而保护了用户隐私。然而,在联邦学习中由于服务器无法审查客户端的本地数据集,恶意客户端可通过数据投毒将后门嵌入全局模型。传统的联邦学习后门防御方法大多基于模型检测的思想进行后门防御,而忽略了联邦学习自身的分布式特性。因此,文章提出一种基于触发器逆向的联邦学习后门防御方法,使聚合服务器和分布式客户端协作,利用触发器逆向技术生成额外的数据,增强客户端本地模型的鲁棒性,从而进行后门防御。在不同数据集上进行实验,实验结果表明,文章提出的方法可以有效防御后门攻击。 展开更多

关键词 联邦学习 后门攻击 后门防御 鲁棒性训练 触发器逆向

下载PDF 职称材料

基于稀疏敏感的鲁棒网络分层剪枝策略

7

作者 李平 袁晓彤 《计算机应用与软件》 北大核心 2023年第5期200-206,共7页

深度神经网络很容易受到精心设计的对抗样本攻击。虽然基于极大极小值优化的对抗训练方法能提升网络的鲁棒性,但是对抗训练比正常训练需要更大容量和更多参数的模型。为了获得一个高鲁棒性和高稀疏度的网络模型,该文从模型压缩角度出发... 深度神经网络很容易受到精心设计的对抗样本攻击。虽然基于极大极小值优化的对抗训练方法能提升网络的鲁棒性,但是对抗训练比正常训练需要更大容量和更多参数的模型。为了获得一个高鲁棒性和高稀疏度的网络模型,该文从模型压缩角度出发通过实验分析模型精度、鲁棒性和稀疏性之间的关系,并根据鲁棒网络稀疏敏感特性提出一种基于稀疏敏感的鲁棒网络非结构剪枝算法。在Mnist和Cifar10数据集上的白盒攻击实验结果表明,该算法在采用较大剪枝率时仍能保持高模型精度和高鲁棒性。在黑盒攻击下,基于该算法的稀疏模型的鲁棒精度甚至能超过未剪枝模型。 展开更多

关键词 鲁棒性 对抗训练 非结构剪枝 稀疏敏感度

下载PDF 职称材料

基于对抗性训练的动态协同过滤推荐算法 被引量：1

8

作者 黄大巧 朱健军 曹俊卓 《软件工程》 2022年第12期50-53,共4页

为了改进时间事件上的输入扰动或者攻击可能导致系统推荐性能大幅下降的问题,提出一种基于对抗性训练改进模型鲁棒性的协同过滤推荐算法。通过构建微小扰动对推荐模型进行训练,调整改进网络结构参数,从而提高系统的推荐准确度和抗干扰... 为了改进时间事件上的输入扰动或者攻击可能导致系统推荐性能大幅下降的问题,提出一种基于对抗性训练改进模型鲁棒性的协同过滤推荐算法。通过构建微小扰动对推荐模型进行训练,调整改进网络结构参数,从而提高系统的推荐准确度和抗干扰能力。通过在亚马逊数据集上的实验,并与几个基线模型进行不同Top-K推荐目标下的NDCG性能对比,结果表明:经过对抗训练的改进算法提升了系统鲁棒性,并且在中等扰动情况下可减少性能下降15%以上。 展开更多

关键词 协同过滤推荐 鲁棒性 对抗性训练

下载PDF 职称材料

一种提高联邦学习模型鲁棒性的训练方法 被引量：1

9

作者 闫萌 林英 +3 位作者 聂志深 曹一凡 皮欢 张兰 《计算机科学》 CSCD 北大核心 2022年第S01期496-501,共6页

联邦学习方法打破了数据壁垒的瓶颈,已被应用到金融、医疗辅助诊断等领域。但基于对抗样本发起的对抗攻击,给联邦学习模型的安全带来了极大的威胁。基于对抗训练提高模型鲁棒性是保证模型安全性的一个较好解决办法,但目前对抗训练方法... 联邦学习方法打破了数据壁垒的瓶颈,已被应用到金融、医疗辅助诊断等领域。但基于对抗样本发起的对抗攻击,给联邦学习模型的安全带来了极大的威胁。基于对抗训练提高模型鲁棒性是保证模型安全性的一个较好解决办法,但目前对抗训练方法主要针对集中式机器学习,并通常只能防御特定的对抗攻击。为此,提出了一种联邦学习场景下,增强模型鲁棒性的对抗训练方法。该方法通过分别加入单强度对抗样本、迭代对抗样本以及正常样本进行训练,并通过调整各训练样本下损失函数的权重,完成了本地训练以及全局模型的更新。在Mnist以及Fashion_Mnist数据集上开展实验,实验结果表明该对抗训练方式极大地增强了联邦模型在不同攻击场景下的鲁棒性,该对抗训练基于FGSM以及PGD展开,且对FFGSM,PGDDLR和BIM等其他攻击方法同样有效。 展开更多

关键词 联邦学习 对抗攻击 鲁棒性 对抗训练

下载PDF 职称材料

注意力机制和自编码器构造的零水印算法

10

作者 李西明 蔡河鑫 +3 位作者 陈志浩 马莎 杜治国 吕红英 《计算机系统应用》 2022年第9期257-264,共8页

零水印技术为保护图像版权的有效手段之一.然而,现有的许多零水印算法大多采用传统的数学理论进行人工提取特征,在结合神经网络进行图片特征提取的零水印方向上并没有广泛研究.目前神经网络在图像特征提取上已经取得了很好的成绩,充分... 零水印技术为保护图像版权的有效手段之一.然而,现有的许多零水印算法大多采用传统的数学理论进行人工提取特征,在结合神经网络进行图片特征提取的零水印方向上并没有广泛研究.目前神经网络在图像特征提取上已经取得了很好的成绩,充分利用卷积自编码器和注意力机制,提出了一种用于构造零水印的深度注意自编码器模型(attention mechanism and autoencoder, AMAE).首先是利用带有注意力的卷积神经网络构建自编码器,然后对自编码器进行训练;其次,利用训练好的编码器输出的特征构造图像的整体特征;最后,将获得的特征图进行二值模式处理得到特征二值矩阵,再与水印图像异或运算得到零水印,并在知识产权信息数据库进行注册,零水印一旦注册,原图像便处于水印技术的保护下.在训练过程中,借鉴对抗训练的思想,对模型进行加噪训练,这提高了模型的鲁棒性.实验结果表明,本文的零水印算法在旋转、噪声和滤波等攻击下,提取水印图像与原水印图像的归一化系数(normalized correlation, NC)值均超过0.9,证明了提出算法的有效性和优越性. 展开更多

关键词 自编码器 零水印 鲁棒性 注意力机制 对抗训练 深度学习

下载PDF 职称材料

双标签监督的几何约束对抗训练

11

作者 曹刘娟 匡华峰 +5 位作者 刘弘 王言 张宝昌 黄飞跃 吴永坚 纪荣嵘 《软件学报》 EI CSCD 北大核心 2022年第4期1218-1230,共13页

近年来的研究表明,对抗训练是一种有效的防御对抗样本攻击的方法.然而,现有的对抗训练策略在提升模型鲁棒性的同时会造成模型的泛化能力下降.现阶段主流的对抗训练方法通常都是独立地处理每个训练样本,而忽略了样本之间的关系,这使得模... 近年来的研究表明,对抗训练是一种有效的防御对抗样本攻击的方法.然而,现有的对抗训练策略在提升模型鲁棒性的同时会造成模型的泛化能力下降.现阶段主流的对抗训练方法通常都是独立地处理每个训练样本,而忽略了样本之间的关系,这使得模型无法充分挖掘样本间的几何关系来学习更鲁棒的模型,以便更好地防御对抗攻击.因此,重点研究如何在对抗训练过程中保持样本间的几何结构稳定性,达到提升模型鲁棒性的目的.具体而言,在对抗训练中,设计了一种新的几何结构约束方法,其目的是保持自然样本与对抗样本的特征空间分布一致性.此外,提出了一种基于双标签的监督学习方法,该方法同时采用自然样本和对抗样本的标签对模型进行联合监督训练.最后,分析了双标签监督学习方法的特性,试图从理论上解释对抗样本的工作机理.多个基准数据集上的实验结果表明:相比于已有方法,该方法有效地提升了模型的鲁棒性且保持了较好的泛化精度.相关代码已经开源:https://github.com/SkyKuang/DGCAT. 展开更多

关键词 深度学习 模型鲁棒性 对抗训练 几何约束 双标签监督

下载PDF 职称材料

雷达地面目标识别技术现状与展望 被引量：5

12

作者 郭鹏程 王晶晶 杨龙顺 《航空兵器》 CSCD 北大核心 2022年第2期1-12,共12页

雷达地面目标识别技术是空地导弹雷达导引头智能化和信息化的重要技术支撑手段。近年来,学者们对地面目标识别技术做了大量研究,但是随着现代化战争攻防对抗日益激烈,雷达地面目标识别技术的应用面临着诸多问题,成为长期制约精确制导武... 雷达地面目标识别技术是空地导弹雷达导引头智能化和信息化的重要技术支撑手段。近年来,学者们对地面目标识别技术做了大量研究,但是随着现代化战争攻防对抗日益激烈,雷达地面目标识别技术的应用面临着诸多问题,成为长期制约精确制导武器发展的瓶颈因素。为了更好地使相关雷达从业者了解该领域的研究现状和未来的发展趋势,本文介绍了雷达目标识别技术的概念,总结了面向装备应用雷达地面目标识别存在的技术难点,对国内外研究现状进行了概括,最后对该技术的发展趋势进行了展望。 展开更多

关键词 雷达地面目标识别 精确制导 噪声稳健 杂波稳健 小样本 群目标 空地导弹

下载PDF 职称材料

鲁棒神经网络的训练方法研究进展与前景 被引量：1

13

作者 梁震 刘万伟 +2 位作者 吴陶然 任德金 薛白 《前瞻科技》 2023年第1期78-89,共12页

近年来,深度神经网络已经发展成为深度学习的重要计算模型,神经网络的鲁棒性对于其在安全攸关领域的部署至关重要。因此,如何训练鲁棒的神经网络是备受学术界和工业界关注的热点问题。文章介绍了目前主流的3类鲁棒神经网络的训练方法,... 近年来,深度神经网络已经发展成为深度学习的重要计算模型,神经网络的鲁棒性对于其在安全攸关领域的部署至关重要。因此,如何训练鲁棒的神经网络是备受学术界和工业界关注的热点问题。文章介绍了目前主流的3类鲁棒神经网络的训练方法,即基于数据增强训练、基于对抗训练和利普希茨鲁棒性训练;并介绍了其各自方法的核心思想、代表性研究工作和适用范围。同时,将近年来的鲁棒神经网络训练方法的优缺点进行比较,对应到神经网络训练的要素上进行深入分析和对照,并对各类训练方法得到的神经网络的鲁棒性的评价指标进行了介绍和比较。最后,分析了目前鲁棒神经网络训练的难点和热点,展望了该领域可能的研究方向,并提出建议。 展开更多

关键词 深度神经网络 鲁棒性 神经网络训练

原文传递

训练模式摄动对模糊形态学联想记忆网络的影响 被引量：4

14

作者 曾水玲 徐蔚鸿 杨静宇 《模式识别与人工智能》 EI CSCD 北大核心 2010年第1期91-96,共6页

众多学者研究的两类形态学联想记忆网络的存储能力、抗腐蚀/膨胀噪声的能力等性质几乎都相同.但是文中研究发现两类网络对训练模式摄动的鲁棒性差异很大.一类对训练模式摄动拥有好的鲁棒性,而另一类则较差.该研究结论能为形态学联想记... 众多学者研究的两类形态学联想记忆网络的存储能力、抗腐蚀/膨胀噪声的能力等性质几乎都相同.但是文中研究发现两类网络对训练模式摄动的鲁棒性差异很大.一类对训练模式摄动拥有好的鲁棒性,而另一类则较差.该研究结论能为形态学联想记忆网络的学习算法选择和训练模式采集设备的精度要求提供指导,对前期训练模式的获取过程提供警示. 展开更多

关键词 模糊形态联想记忆网络 学习算法 训练模式对 摄动 鲁棒性

原文传递

基于机器学习算法的ET_(0)预测研究 被引量：3

15

作者 韦琦 卫琦 +4 位作者 徐解刚 柏玥辰 李昕彤 贺敏 徐俊增 《节水灌溉》 北大核心 2022年第11期9-17,共9页

为了解不同机器学习算法在预测不同气候区参考作物腾发量(ET_(0))方面的表现,以中国干旱区和湿润区共计20个气象站点1960-2019年的逐日气象数据为依据,以PM和HS公式计算的ET_(0)为参考,评价了多元逐步回归(SL)、支持向量机(SVM)和高斯... 为了解不同机器学习算法在预测不同气候区参考作物腾发量(ET_(0))方面的表现,以中国干旱区和湿润区共计20个气象站点1960-2019年的逐日气象数据为依据,以PM和HS公式计算的ET_(0)为参考,评价了多元逐步回归(SL)、支持向量机(SVM)和高斯过程回归(GPR) 3种机器学习算法的ET_(0)预测精度及其适用性。结果表明:(1)当分别以PM和HS公式计算的ET_(0)数值为标准时,3种机器学习算法模拟ET_(0)精度大小关系均表现为:GPR>SVM>SL,且GPR算法的模拟精度最高,其相关系数(R~2)均高达0.950以上。(2)当采用同一种机器学习算法时,其在以PM公式计算的ET_(0)为参考值情况下的R~2范围为0.965~0.995、RMSE的范围为0.212~0.260 mm/d、MAE的范围为0.151~0.201 mm/d;以HS公式计算结果为参考值时,其R~2范围为0.935~0.984、RMSE范围为0.832~0.964 mm/d、MAE范围为0.596~0.745mm/d。(3)在不同气候分区,以同一参考公式计算结果为标准值时采用机器学习算法模拟干旱区的ET_(0)精度均优于湿润区,其R~2提高了0.01。(4)对比不同机器学习算法的稳健性,SL和SVM算法在分别以PM和HS公式计算结果为参考值时的稳健性最高,其训练到模拟阶段的R~2变化幅度仅为0.16%和0.11%,而GPR算法稳健性均最低。(5)对比不同机器学习算法训练时间成本,SVM和GPR算法的计算成本显著高于SL算法。综合分析3种算法的ET_(0)预测精度、稳健性和计算成本,SVM算法可推荐为中国干旱区和湿润区较为精准预测参考作物腾发量的方法。且机器学习模拟精度与气象因子的定量关系表明,日照时数(N)变化是影响各算法预测精度的主要因子。 展开更多

关键词 参考作物腾发量 ET_(0)预测精度 算法稳健性 训练时间成本 不同气候区 机器学习算法

下载PDF 职称材料