- 000 开篇词 你的360度人工智能信息助理.md
- 001 聊聊2017年KDD大会的时间检验奖.md
- 002 精读2017年KDD最佳研究论文.md
- 003 精读2017年KDD最佳应用数据科学论文.md
- 004 精读2017年EMNLP最佳长论文之一.md
- 005 精读2017年EMNLP最佳长论文之二.md
- 006 精读2017年EMNLP最佳短论文.md
- 007 精读2017年ICCV最佳研究论文.md
- 008 精读2017年ICCV最佳学生论文.md
- 009 如何将深度强化学习应用到视觉问答系统?.md
- 010 精读2017年NIPS最佳研究论文之一:如何解决非凸优化问题?.md
- 011 精读2017年NIPS最佳研究论文之二:KSD测试如何检验两个分布的异同?.md
- 012 精读2017年NIPS最佳研究论文之三:如何解决非完美信息博弈问题?.md
- 013 WSDM 2018论文精读:看谷歌团队如何做位置偏差估计.md
- 014 WSDM 2018论文精读:看京东团队如何挖掘商品的替代信息和互补信息.md
- 015 WSDM 2018论文精读:深度学习模型中如何使用上下文信息?.md
- 016 The Web 2018论文精读:如何对商品的图片美感进行建模?.md
- 017 The Web 2018论文精读:如何改进经典的推荐算法BPR?.md
- 018 The Web 2018论文精读:如何从文本中提取高元关系?.md
- 019 SIGIR 2018论文精读:偏差和流行度之间的关系.md
- 020 SIGIR 2018论文精读:如何利用对抗学习来增强排序模型的普适性?.md
- 021 SIGIR 2018论文精读:如何对搜索页面上的点击行为进行序列建模?.md
- 022 CVPR 2018论文精读:如何研究计算机视觉任务之间的关系?.md
- 023 CVPR 2018论文精读:如何从整体上对人体进行三维建模?.md
- 024 CVPR 2018论文精读:如何解决排序学习计算复杂度高这个问题?.md
- 025 ICML 2018论文精读:模型经得起对抗样本的攻击?这或许只是个错觉.md
- 026 ICML 2018论文精读:聊一聊机器学习算法的公平性问题.md
- 027 ICML 2018论文精读:优化目标函数的时候,有可能放大了不公平?.md
- 028 ACL 2018论文精读:问答系统场景下,如何提出好问题?.md
- 029 ACL 2018论文精读:什么是对话中的前提触发?如何检测?.md
- 030 ACL 2018论文精读:什么是端到端的语义哈希?.md
- 030 复盘 7 一起来读人工智能国际顶级会议论文.md
- 031 经典搜索核心算法:TF-IDF及其变种.md
- 032 经典搜索核心算法:BM25及其变种(内附全年目录).md
- 033 经典搜索核心算法:语言模型及其变种.md
- 034 机器学习排序算法:单点法排序学习.md
- 035 机器学习排序算法:配对法排序学习.md
- 036 机器学习排序算法:列表法排序学习.md
- 037 查询关键字理解三部曲之分类.md
- 038 查询关键字理解三部曲之解析.md
- 039 查询关键字理解三部曲之扩展.md
- 040 搜索系统评测,有哪些基础指标?.md
- 041 搜索系统评测,有哪些高级指标?.md
- 042 如何评测搜索系统的在线表现?.md
- 043 文档理解第一步:文档分类.md
- 044 文档理解的关键步骤:文档聚类.md
- 045 文档理解的重要特例:多模文档建模.md
- 046 大型搜索框架宏观视角:发展、特点及趋势.md
- 047 多轮打分系统概述.md
- 048 搜索索引及其相关技术概述.md
- 049 PageRank算法的核心思想是什么?.md
- 050 经典图算法之HITS.md
- 051 社区检测算法之模块最大化
- 052 机器学习排序算法经典模型:RankSVM.md
- 053 机器学习排序算法经典模型:GBDT.md
- 054 机器学习排序算法经典模型:LambdaMART.md
- 055 基于深度学习的搜索算法:深度结构化语义模型.md
- 056 基于深度学习的搜索算法:卷积结构下的隐含语义模型.md
- 057 基于深度学习的搜索算法:局部和分布表征下的搜索模型.md
- 057 复盘 1 搜索核心技术模块.md
- 058 简单推荐模型之一:基于流行度的推荐模型.md
- 059 简单推荐模型之二:基于相似信息的推荐模型.md
- 060 简单推荐模型之三:基于内容信息的推荐模型.md
- 061 基于隐变量的模型之一:矩阵分解.md
- 062 基于隐变量的模型之二:基于回归的矩阵分解.md
- 063 基于隐变量的模型之三:分解机.md
- 064 高级推荐模型之一:张量分解模型.md
- 065 高级推荐模型之二:协同矩阵分解.md
- 066 高级推荐模型之三:优化复杂目标函数.md
- 067 推荐的Exploit和Explore算法之一:EE算法综述.md
- 068 推荐的Exploit和Explore算法之二:UCB算法.md
- 069 推荐的Exploit和Explore算法之三:汤普森采样算法.md
- 070 推荐系统评测之一:传统线下评测.md
- 071 推荐系统评测之二:线上评测.md
- 072 推荐系统评测之三:无偏差估计.md
- 073 现代推荐架构剖析之一:基于线下离线计算的推荐架构.md
- 074 现代推荐架构剖析之二:基于多层搜索架构的推荐系统.md
- 075 现代推荐架构剖析之三:复杂现代推荐架构漫谈.md
- 076 基于深度学习的推荐模型之一:受限波兹曼机.md
- 077 基于深度学习的推荐模型之二:基于RNN的推荐系统.md
- 078 基于深度学习的推荐模型之三:利用深度学习来扩展推荐系统.md
- 078 复盘 2 推荐系统核心技术模块.md
- 079 广告系统概述.md
- 080 广告系统架构.md
- 081 广告回馈预估综述.md
- 082 Google的点击率系统模型.md
- 083 Facebook的广告点击率预估模型.md
- 084 雅虎的广告点击率预估模型.md
- 085 LinkedIn的广告点击率预估模型.md
- 086 Twitter的广告点击率预估模型.md
- 087 阿里巴巴的广告点击率预估模型.md
- 088 什么是基于第二价位的广告竞拍?.md
- 089 广告的竞价策略是怎样的?.md
- 090 如何优化广告的竞价策略?.md
- 091 如何控制广告预算?.md
- 092 如何设置广告竞价的底价?.md
- 093 聊一聊程序化直接购买和广告期货.md
- 094 归因模型:如何来衡量广告的有效性.md
- 095 广告投放如何选择受众?如何扩展受众群?.md
- 096 复盘 4 广告系统核心技术模块.md
- 096 如何利用机器学习技术来检测广告欺诈?.md
- 097 LDA模型的前世今生.md
- 098 LDA变种模型知多少.md
- 099 针对大规模数据,如何优化LDA算法?.md
- 100 基础文本分析模型之一:隐语义分析.md
- 101 基础文本分析模型之二:概率隐语义分析.md
- 102 基础文本分析模型之三:EM算法.md
- 103 为什么需要Word2Vec算法?.md
- 104 Word2Vec算法有哪些扩展模型?.md
- 105 Word2Vec算法有哪些应用?.md
- 106 序列建模的深度学习利器:RNN基础架构.md
- 107 基于门机制的RNN架构:LSTM与GRU.md
- 108 RNN在自然语言处理中有哪些应用场景?.md
- 109 对话系统之经典的对话模型.md
- 110 任务型对话系统有哪些技术要点?.md
- 111 聊天机器人有哪些核心技术要点?.md
- 112 什么是文档情感分类?.md
- 113 如何来提取情感实体和方面呢?.md
- 114 复盘 3 自然语言处理及文本处理核心技术模块.md
- 114 文本情感分析中如何做意见总结和搜索?.md
- 115 什么是计算机视觉?.md
- 116 掌握计算机视觉任务的基础模型和操作.md
- 117 计算机视觉中的特征提取难在哪里?.md
- 118 基于深度学习的计算机视觉技术(一):深度神经网络入门.md
- 119 基于深度学习的计算机视觉技术(二):基本的深度学习模型.md
- 120 基于深度学习的计算机视觉技术(三):深度学习模型的优化.md
- 121 计算机视觉领域的深度学习模型(一):AlexNet.md
- 122 计算机视觉领域的深度学习模型(二):VGG & GoogleNet.md
- 123 计算机视觉领域的深度学习模型(三):ResNet.md
- 124 计算机视觉高级话题(一):图像物体识别和分割.md
- 125 计算机视觉高级话题(二):视觉问答.md
- 126 计算机视觉高级话题(三):产生式模型.md
- 126复盘 5 计算机视觉核心技术模块.md
- 127 数据科学家基础能力之概率统计.md
- 128 数据科学家基础能力之机器学习.md
- 129 数据科学家基础能力之系统.md
- 130 数据科学家高阶能力之分析产品.md
- 131 数据科学家高阶能力之评估产品.md
- 132 数据科学家高阶能力之如何系统提升产品性能.md
- 133 职场话题:当数据科学家遇见产品团队.md
- 134 职场话题:数据科学家应聘要具备哪些能力?.md
- 135 职场话题:聊聊数据科学家的职场规划.md
- 136 如何组建一个数据科学团队?.md
- 137 数据科学团队养成:电话面试指南.md
- 138 数据科学团队养成:Onsite面试面面观.md
- 139 成为香饽饽的数据科学家,如何衡量他们的工作呢?.md
- 140 人工智能领域知识体系更新周期只有5~6年,数据科学家如何培养?.md
- 141 数据科学家团队组织架构:水平还是垂直,这是个问题.md
- 142 数据科学家必备套路之一:搜索套路.md
- 143 数据科学家必备套路之二:推荐套路.md
- 144 数据科学家必备套路之三:广告套路.md
- 145 如何做好人工智能项目的管理?.md
- 146 数据科学团队必备的工程流程三部曲.md
- 147 数据科学团队怎么选择产品和项目?.md
- 148 曾经辉煌的雅虎研究院.md
- 149 微软研究院:工业界研究机构的楷模.md
- 150 复盘 6 数据科学家与数据科学团队是怎么养成的?.md
- 150 聊一聊谷歌特立独行的混合型研究.md
- 151 精读AlphaGo Zero论文.md
- 152 2017人工智能技术发展盘点.md
- 153 如何快速学习国际顶级学术会议的内容?.md
- 154 在人工智能领域,如何快速找到学习的切入点?.md
- 155 人工智能技术选择,该从哪里获得灵感?.md
- 156 内参特刊 和你聊聊每个人都关心的人工智能热点话题.md
- 156 近在咫尺,走进人工智能研究.md
- 结束语 雄关漫道真如铁,而今迈步从头越.md
- 捐赠
025 ICML 2018论文精读:模型经得起对抗样本的攻击?这或许只是个错觉
2018年7月10日~15日,国际机器学习大会ICML 2018(The 35th International Conference on Machine Learning),在瑞典的斯德哥尔摩举行。
ICML从1980年开始举办,已有30多年的历史 ,是机器学习、人工智能领域的顶级会议。
今年ICML大会共收到了2473份投稿,投稿量和去年相比增加了45%。今年最后录取了621篇论文,录取率近25%。除了主会议以外,ICML大会还组织了9个讲座,67个研讨班。
在接下来的几期内容里,我会为你精选三篇ICML 2018的论文,我们一起来讨论。
今天,我和你分享的是大会的最佳论文,题目是《梯度混淆带来的安全错觉:绕过对对抗样本的防御》(Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Examples)。
先简单介绍下这篇论文的作者群。
第一作者阿尼什·阿提耶(Anish Athalye)是麻省理工大学的博士生,主要研究方向是机器学习算法的安全。他在今年的ICML大会上就发表了3篇论文。
第二作者尼古拉·泽多维奇(Nickolai Zeldovich)是阿提耶的导师。他是麻省理工大学计算机系的教授,做安全相关的研究。
第三作者大卫·瓦格纳(David Wagner)来自加州大学伯克利分校,是计算机系教授,也是安全研究方面的专家。
论文的背景
这篇论文的内容对于大对数人来说可能是比较陌生的。想要弄清楚这篇论文的主要贡献,我们首先来熟悉一下这篇论文所要解决的问题。
试想我们比较熟悉的监督学习任务。一般来说,在监督学习任务中,我们会有一个数据集,用各种特性(Feature)来表征这个数据集里的数据点。拿最普通的监督学习来说,比如需要把图像分类为“猫”、“狗”等,机器学习算法就是学习一个分类器,可以根据不同的输入信息来做分类的决策。
当然,我们所说的是在正常情况下使用分类器的场景。有一类特别的应用场景,或者说是“对抗”场景,其实是希望利用一切方法来破坏或者绕开分类器的决策结果。
一个大类的“对抗机制”是尝试使用“对抗样本”(Adversarial Examples)。什么是对抗样本呢?就是说一个数据样本和原来正常的某个样本是非常类似的,但是可以导致分类决策出现很大不同。例如在我们刚才的图像识别的例子中,一个有效的对抗样本就是一张非常像狗的图片,但是可以导致分类器认为这是一只猫或者别的动物。利用这种类似的样本,可以使分类器的训练和测试都产生偏差,从而达到攻击分类器的目的。
除了“对抗样本”的概念以外,我们再来看一看攻击分类器的一些基本的模式。
一般来说,对分类器的攻击有两种模式,一种叫作“白盒攻击”(White-Box),一种叫作“黑盒攻击”(Black-Box)。白盒攻击主要是指攻击者可以完全接触到分类器的所有内部细节,比如深度模型的架构和各种权重,但无法接触到测试数据。而黑盒攻击则是指攻击者无法接触分类器的细节。
这篇论文考虑的场景是白盒攻击。攻击方尝试针对每一个合法的数据点,去寻找一个距离最近的数据变形,使得分类器的结果发生变化。通俗地说,就是希望对数据进行最小的改变,从而让分类器的准确率下降。
在完全白盒的场景下,最近也有一系列的工作,希望让神经网络更加健壮,从而能够抵御对抗样本的攻击。但是到目前为止,学术界还并没有完全的答案。
论文的主要贡献
通过上面的介绍,我们知道目前有一些防御对抗样本的方法,似乎为分类器提供了一些健壮性的保护。这篇文章的一个重要贡献,就是指出,这些防御方法有可能只是带来了一种由“梯度混淆”(Obfuscated Gradients)所导致的错觉。
梯度混淆是“梯度屏蔽”(Gradient Masking)的一种特殊形式。对于迭代攻击方法来说,如果发生梯度混淆,防御方会形成防御成功的假象。
作者们在这篇论文中对梯度混淆进行了分析,提出了三种类型的梯度混淆:“扩散梯度”(Shattered Gradients)、“随机梯度”(Stochastic Gradients)和“消失梯度或者爆炸梯度”(Vanishing/Exploding gradients)。
针对这三种不同的梯度混淆,作者们提出了相应的一些攻击方案,使得攻击方可以绕过梯度混淆来达到攻击的目的,并且在ICLR 2018的数据集上展示了很好的效果。
值得注意的是,这篇论文针对的是在防御过程中“防御方”的方法所导致的梯度混淆的问题。目前学术界还有相应的工作是从攻击方的角度出发,试图学习打破梯度下降,例如让梯度指向错误的方向。
论文的核心方法
我们首先来看一看这三种类型的梯度混淆。
扩散梯度主要是指防御方发生了“不可微分”(Non-Differentiable)的情况。不可微分的后果是直接导致数值不稳定或者梯度不存在。扩散梯度其实并不意味着防御方有意识地希望这么做,这很有可能是因为防御方引入了一些看似可以微分但是并没有优化目标函数的情况。
随机梯度主要是由随机防御(Randomized Defense)引起的。这有可能是神经网络本身被随机化了,或者是输入的数据被随机化,造成了梯度随机化。
消失梯度和爆炸梯度主要是通过神经网络的多次迭代估值(Evaluation)所导致。例如,让一次迭代的结果直接进入下一次迭代的输入。
刚才我们说了,梯度混淆可能是防御方无意识所产生的结果,并不是设计为之。那么,攻击方有什么方法来识别防御方是真的产生了有效果的防御,还是仅仅发生了梯度混淆的情况呢?
作者们做了一个总结,如果出现了以下这些场景,可能就意味着出现了梯度混淆的情况。
第一种情况,一步攻击的效果比迭代攻击(也就是攻击多次)好。在白盒攻击的情况下,迭代攻击是一定好于一步攻击的。因此如果出现了这种一步攻击好于迭代攻击的情况,往往就意味着异常。
第二种情况,黑盒攻击的效果比白盒好。理论上,白盒攻击的效果应该比黑盒好。出现相反的情况,往往意味着不正常。
第三种情况,无局限(Unbounded Attack)效果没有达到100%。最后的这种情况,就是随机寻找对抗样本,发现了比基于梯度下降的攻击要好的对抗样本。
那么,针对梯度混淆,攻击方有什么办法呢?
针对扩散梯度,作者们提出了一种叫BPDA(Backward Pass Differentiable Approximation)的方法。如果有兴趣,建议你阅读论文来了解这种算法的细节。总体说来,BPDA就是希望找到神经网络不可微分的地方,利用简单的可微分的函数对其前后进行逼近,从而达到绕过阻碍的目的。
针对随机梯度,作者们提出了“变换之上的期望”(Expectation over Transformation)这一方法。这个方法的特点是针对随机变化,变换的期望应该还是能够反映真实的梯度信息。于是作者们就让攻击方作用于变换的期望值,从而能够对梯度进行有效的估计。
针对消失或者爆炸的梯度,作者们提出了“重新参数化”(Reparameterization)这一技术。重新参数化是深度学习中重要的技术。在这里,作者们使用重新参数化,其实就是对变量进行变换,从而使得新的变量不发生梯度消失或者爆炸的情况。
小结
今天我为你讲了今年ICML的最佳论文。
一起来回顾下要点:第一,这篇论文讨论了一个比较陌生的主题,我们简要介绍了论文的背景;第二,我们详细介绍了论文提出的三种类型的梯度混淆。
最后,给你留一个思考题,我们为什么要研究深度学习模型是否健壮,是否能够经得起攻击呢?有什么现实意义吗?
© 2019 - 2023 Liangliang Lee. Powered by gin and hexo-theme-book.