對(duì)于深度神經(jīng)網(wǎng)絡(luò)來(lái)說(shuō),有一個(gè)非常有趣的特性就是它們?nèi)菀资艿綄?duì)抗樣本的攻擊——攻擊者惡意生成的可以造成目標(biāo)深度神經(jīng)網(wǎng)絡(luò)誤分類的輸入。為了防止對(duì)抗樣本所帶來(lái)的威脅,研究者提出了許多啟發(fā)式防御方法,然而這些啟發(fā)式防御方法很容易被更強(qiáng)的適應(yīng)性攻擊者攻破。為了結(jié)束攻擊者與防御者之間漫長(zhǎng)的軍備競(jìng)賽,研究者又就驗(yàn)證模型魯棒性的相關(guān)技術(shù)作出了很大的努力,確保對(duì)于給定的輸入,保證鄰近空間不存在任何對(duì)抗樣本。然而,之前的研究工作集中在以輸入樣本為中心的對(duì)稱的鄰近空間（具體來(lái)說(shuō),以輸入為中心的超矩形）,而忽略了對(duì)抗擾動(dòng)方向的固有的異質(zhì)性（例如,輸入更容易受到某個(gè)擾動(dòng)方向的影響）。在本文中,首先提出一種啟發(fā)式防御框架DeT,它可以1)防御常見(jiàn)攻擊方法所生成的對(duì)抗樣本;2)在較大對(duì)抗干擾下依然能將對(duì)抗樣本正確分類。De T是一種基于遷移性的防御方法,而且據(jù)我們所知是第一種這樣的嘗試。我們的實(shí)驗(yàn)結(jié)果表明De T在黑盒攻擊與灰盒攻擊都能取得很好的防御效果。為了縮小對(duì)稱魯棒空間與真實(shí)魯棒空間之間的差距,進(jìn)一步,我們提出了非對(duì)稱魯棒性邊界的概念,它考慮了擾動(dòng)方向的異質(zhì)性,并提出了一個(gè)稱為變形蟲1的框架。該框架可以驗(yàn)證給... 

【文章頁(yè)數(shù)】：70 頁(yè)

【學(xué)位級(jí)別】：碩士

【文章目錄】：
摘要
Abstract
第1章 緒論
    1.1 課題背景與意義
    1.2 研究現(xiàn)狀和趨勢(shì)
        1.2.1 對(duì)抗攻擊
        1.2.2 對(duì)抗防御
        1.2.3 可證明的驗(yàn)證神經(jīng)網(wǎng)絡(luò)的防御方法
    1.3 本文的主要工作
    1.4 本文的文章結(jié)構(gòu)
    1.5 本章小結(jié)
第2章 基于遷移性的啟發(fā)式防御
    2.1 防御方案概述
    2.2 防御方法技術(shù)細(xì)節(jié)
        2.2.1 初步去噪
        2.2.2 隨機(jī)抽樣
        2.2.3 二次去噪
        2.2.4 預(yù)測(cè)投票
    2.3 防御評(píng)估
        2.3.1 威脅模型
        2.3.2 實(shí)驗(yàn)準(zhǔn)備
        2.3.3 交叉訓(xùn)練的有效性
        2.3.4 針對(duì)黑盒攻擊的實(shí)驗(yàn)評(píng)估
        2.3.5 針對(duì)灰盒攻擊的實(shí)驗(yàn)評(píng)估
        2.3.6 與其他防御方法的性能比較
    2.4 本章小結(jié)
第3章 非對(duì)稱魯棒性驗(yàn)證框架
    3.1 框架概述
    3.2 框架方法
        3.2.1 形式化
        3.2.2 松弛
        3.2.3 優(yōu)化求解
    3.3 框架評(píng)估
        3.3.1 威脅模型
        3.3.2 實(shí)驗(yàn)準(zhǔn)備
        3.3.3 性能評(píng)估
        3.3.4 可視化
        3.3.5 魯棒空間與通用對(duì)抗干擾之間的關(guān)聯(lián)
    3.4 本章小結(jié)
第4章 非對(duì)稱魯棒邊界的應(yīng)用
    4.1 應(yīng)用概述
    4.2 提升現(xiàn)有算法的攻擊
    4.3 解釋深度神經(jīng)網(wǎng)絡(luò)模型的預(yù)測(cè)機(jī)制
    4.4 探索對(duì)抗樣本的遷移性
    4.5 本章小結(jié)
第5章 總結(jié)與展望
    5.1 本文總結(jié)
    5.2 未來(lái)展望
參考文獻(xiàn)
攻讀碩士學(xué)位期間主要的研究成果
致謝



本文編號(hào)：3694601