失败的防御手段:以前提出的多种防御对抗样本攻击的方法,比如生成预训练、混合模型、权重衰减、Dropout、非线性模型等等
实际上,生成模型并非防御对抗样本攻击最有效的手段
对抗训练
其他模型的对抗训练 线性模型:SVM / 线性回归无法学会步进函数,因此对抗训练效果并不显著 kNN:神经网络易于过拟合 要点:神经网络实际上可以比其他模型更加安全。实践中,使用对抗训练神经网络在所有机器学习模型的对抗样本成效最佳
然而,对抗训练仍然存在缺点
基于模型的优化:就像从最初的汽车到现代轿车再到未来的自动驾驶汽车一样,我们要发明新的方法,让输入使模型的预测能力最大化,不断探索,做出新的发现
总结 对网络或系统进行攻击十分容易 然而防护却相当困难 通过训练可以不断突破基准 对抗训练可以起到正则化和半监督学习的效果 一般而言,out-of-domain 输入是基于模型的优化的瓶颈
关于对抗训练的更多资源:OpenAI 基于 TensorFlow 的开源库 cleverhans(Theano 版正在开发中~) 伯克利秋季深度学习课程介绍 (责任编辑:本港台直播) |