文献类型：期刊文章

作　　者：陈思宏[1] 沈浩靖[1] 王冉[2] 王熙照[1,3]

CHEN Si-Hong;SHEN Hao-Jing;WANG Ran;WANG Xi-Zhao(College of Computer Science and Software Engineering,Shenzhen University,Shenzhen 518060,China;College of Mathematics and Statistics,Shenzhen University,Shenzhen 518060,China;Guangdong Key Laboratory of Intelligent Information Processing(Shenzhen University),Shenzhen 518060,China)

机构地区：[1]深圳大学计算机与软件学院,广东深圳518060 [2]深圳大学数学与统计学院,广东深圳518060 [3]广东省智能信息处理重点实验室(深圳大学),广东深圳518060

出　　处：《软件学报》

基　　金：国家自然科学基金(61732011,62176160,61976141,61732011,61772344);深圳大学自然科学基金(827-000230);深圳大学跨学科创新小组。

年　　份：2022

卷　　号：33

期　　号：2

起止页码：524-538

语　　种：中文

收录情况：AJ、BDHX、BDHX2020、CSCD、CSCD2021_2022、EI、IC、JST、MR、RCCSE、SCOPUS、ZGKJHX、ZMATH、核心刊

摘　　要：对抗鲁棒性指的是模型抵抗对抗样本的能力,对抗训练是提高模型对抗鲁棒性的一种常用方法.然而,对抗训练会降低模型在干净样本上的准确率,这种现象被称为accuracy-robustness problem.由于在训练过程中需要生成对抗样本,这个过程显著增加了网络的训练时间.研究了预测不确定性与对抗鲁棒性的关系,得出以下结论:预测不确定性越大,则模型对抗鲁棒性越大.结论解释为:用交叉熵训练得到的模型边界并不完美,为了使得交叉熵最小化,可能使得一些类的分类面变得狭隘,导致这些类的样本容易受到对抗攻击.如果在训练模型的同时最大化模型输出的信息熵,可以使得模型的分类面更加平衡,模型分类面边界与每一类数据的距离尽可能一样远,从而提高攻击难度.在此基础上,提出一种新的增强对抗鲁棒性的方法,通过增加模型预测的不确定性,以达到提高鲁棒性的目的;它在保证模型准确率的同时,使得模型预测的信息熵达到更大.在MNIST、CIFAR-10和CIFAR-100数据集上的大量实验和简化的模型推导,都证实了对抗鲁棒性随模型预测不确定性的增加而增加的统计关系.该方法也可结合对抗训练,进一步提高了模型的对抗鲁棒性.

关 键 词：对抗样本  不确定性 对抗防御  深度学习  对抗鲁棒性  

分 类 号：TP181]