Intelligence artificielle

Évaluation précise, fiable et rapide de la robustesse

Évaluation précise, fiable et rapide de la robustesse


Comme avantage supplémentaire, l'attaque n'a qu'un seul hyperparamètre (la longueur de pas maximale ou le rayon de la région de confiance), et si l'on définit simplement ce paramètre à sa valeur par défaut, on peut déjà obtenir de très bons résultats.

Je pense que cette attaque devrait faire partie de la boîte à outils standard de quiconque essaie d'évaluer la robustesse d'un modèle. Il fonctionne suffisamment différemment des autres attaques basées sur le gradient pour avoir une chance d'échapper à certains problèmes de masquage du gradient qui affectent d'autres techniques. Dans le même temps, sachez qu'il n'y a aucune garantie que cette attaque fonctionne mieux sur votre modèle. Veuillez suivre nos conseils dans [3] et essayez de nombreuses attaques différentes (techniques basées sur un gradient et non basées sur un gradient) adaptées à votre modèle spécifique et à votre technique de défense afin de mesurer la robustesse de la manière la plus fiable possible.

[1] W. Brendel, J. Rauber, M. Kümmerer, I. Ustyuzhaninov, M. Bethge. Évaluation précise, fiable et rapide de la robustesse, NeurIPS (2019)

[2] A. Athalye, N. Carlini, D. Wagner. Les dégradés obscurcis donnent un faux sentiment de sécurité: Contourner les défenses aux exemples contradictoires, ICML (2018)

[3] N. Carlini, A. Athalye, N. Papernot, W. Brendel, J. Rauber, D. Tsipras, I. Goodfellow, A. Madry, A. Kurakin. Sur l'évaluation de la robustesse contradictoire

[4] W. Brendel, J. Rauber, M. Bethge. Attaques contradictoires fondées sur la décision: attaques fiables contre les modèles d'apprentissage automatique à boîte noire, ICLR (2018)

[5] A. Madry, A. Makelov, L. Schmidt, D. Tsipras, A. Vladu. Vers des modèles d'apprentissage en profondeur résistants aux attaques contradictoires, ICLR (2018)

Note de bas de page 1: Nous suivons la frontière en utilisant le gradient rétropropagé pour estimer la géométrie locale de la frontière, que nous utilisons ensuite pour trouver l'étape optimale qui (a) nous rapproche de l'image propre, (b) reste dans les limites des pixels (par exemple [0, 255]), (c) reste sur la frontière de décision et (d) n'est pas trop grand. La résolution efficace de ce problème d'optimisation à chaque itération (en utilisant le double et quelques astuces de la théorie de l'opérateur proximal) a été la partie la plus difficile de tout le travail.

Afficher plus

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Articles similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page
Fermer