基于随机平滑的数据中毒防御有多强健? 抽象的 可证明可靠的分类器的预测在一个点附近保持不变,从而使它们在保证测试时间的情况下具有弹性。 在这项工作中,我们提出了对健壮的机器学习模型的前所未有的威胁,突显了训练数据质量在实现高认证健壮性方面的重要性。 具体而言,我们提出了一种基于双层优化的新型数据中毒攻击,该攻击会降低可证明的鲁棒分类器的鲁棒性保证。 与其他数据中毒攻击会降低一小组目标点上的中毒模型的准确性不同,我们的攻击会减少数据集中整个目标类的平均认证半径。 此外,即使受害者使用最新的健壮训练方法(例如, 和从头开始训练模型,我们的攻击也是有效的。 为了使攻击更难检测,我们使用带有明显较小失真的干净标签中毒点。 通过中毒MNIST和CIFAR10数据集并使用前面提到的鲁棒训练方法训练深度神经网络,并使用随机平滑验证其鲁棒性,来评估所提出方法的有效性。 对于使用这些强大的训练方法训练的模型
1
matlab对比实验代码数据中毒攻击的认证防御 该代码复制了以下论文的实验: 雅各布·斯坦哈特,庞伟哥和梁佩茜 NIPS 2017。 我们在上具有这些脚本的可复制,可执行和Dockerized版本。 实验的数据集也可以在Codalab链接中找到。 依存关系: Numpy / Scipy / Scikit-learn / Pandas Tensorflow(在v1.1.0上测试) Keras(在v2.0.4上测试) Spacy(在v1.8.2上测试) h5py(在v2.7.0上测试) cvxpy(在0.4.9上测试) MATLAB / Gurobi Matplotlib / Seaborn(用于可视化) 具有这些依赖关系的Dockerfile(MATLAB除外)可以在这里找到: 在用户提供的数据上训练的机器学习系统容易受到数据中毒攻击,从而恶意用户注入虚假的训练数据,目的是破坏学习的模型。 尽管最近的工作提出了许多攻击和防御措施,但对于面对坚定的攻击者最坏情况的防御措施知之甚少。 对于首先执行异常值消除然后将经验风险最小化的防御者,我们通过在广泛的攻击家族中构建近似的损失上限来解决此问题
2021-10-30 15:18:09 374KB 系统开源
1