也许这是一个概念上的问题,但我希望您能给我您的意见。我确实知道,对抗训练意味着在训练过程中引入一些损坏的实例,以便混淆模型并在测试时产生错误的预测。但是,此模型是否适用于以下情况?: 假设创建了一个对抗性补丁来欺骗检测停止符号的分类器,因此普通对象检测器在存在该补丁的情况下将无法区分实际的停止符号。但是,如果模型训练带有和不带有补丁的两个实例怎么办?对于对象分类器而言,执行此操作并不难,而且攻击会失去所有成功的机会,对吗? 我不知道为什么对于这种模型,如果只需要更多的训练就可以包括那些对抗性样本,那么这些攻击就能成功。
答案 0 :(得分:0)
我怀疑这里会有很多学者回答您的问题。应该去找您学校里的高级博士学位。我的研究主题更多地放在SLAM领域,但我仍然会尽力回答。
您可以训练经过修改的一组输入。但是,在您使用修改后的样本集进一步训练之后,模型本身将正确更改。它会失去执行任务A的原始属性,但会针对可能与任务A和任务B相关的任务B进行更优化。
然后,还应该修改攻击以集中于修改后的属性,这意味着用其他方法来欺骗它。
但是,如果您采用这种方式,那么您将无法达到最初的目的。
希望这是您要寻找的答案。
在微信,QQ,whatsapp中找到一个研究聊天小组。更容易在那里找到答案
答案 1 :(得分:0)
据我所知,对抗训练(即对带有正确标签的新对抗图像进行连续训练/微调)是对无法通过某种形式的对抗攻击完全克服的对抗示例的唯一有力防御,如果我错了,请纠正我)。还有许多其他尝试来对抗对抗性示例,但是如果攻击者对防御的概念有所了解,通常可以采用一种解决方法(例如,参见Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Examples)。
请注意,要在对抗训练中真正获得鲁棒性,您必须在训练期间生成对抗示例,或者继续使用新的对抗图像进行更新。据我了解,这是因为一旦您训练了一些对抗性示例,您的模型就会稍有变化,尽管它可以对最初的对抗性示例保持鲁棒性,但是仍然存在其他对抗性示例,它们仍然针对您的新训练/微调模型。对抗训练逐步改变您的模型,以最大程度地减少有效对抗扰动的可用性。
但是,这样做可能与准确性不符(请参阅Robustness May Be at Odds with Accuracy)。对于非对抗性示例真正可靠的模型对于非对抗性示例可能具有明显较低的准确性。此外,对抗训练可能很难扩展到具有较大图像的数据集。