核心概念
本文提出了FullCert,這是第一個能夠對抗訓練時間和推論時間攻擊的確定性端到端神經網絡認證器。FullCert通過可達性分析(基於抽象解釋)來計算訓練和推論過程中的上界,從而保證模型的健壯性。
摘要
本文提出了FullCert,這是第一個能夠對抗訓練時間和推論時間攻擊的確定性端到端神經網絡認證器。
首先,作者定義了確定性端到端神經網絡認證問題。在訓練階段,作者界定了一個包含所有可能的訓練數據擾動的集合,並將其傳播到模型參數。在推論階段,作者將這些參數擾動的影響傳播到模型的輸出,從而得到對抗訓練和推論攻擊的聯合健壯性保證。
為了解決這個問題,作者提出了基於可達性分析(抽象解釋)的方法。具體來說,作者使用區間上界來表示訓練數據和模型參數的擾動,並定義了相應的抽象運算來傳播這些上界。這確保了所有可能的擾動都被考慮在內,從而得到確定性的健壯性保證。
作者還提出了一個新的開源庫BoundFlow,它實現了這種基於區間的端到端認證方法。實驗結果表明,FullCert在小規模數據集上是可行的,並且能夠提供確定性的健壯性保證。
統計資料
以下是支持作者論點的關鍵數據:
現有的訓練時間認證方法只提供概率性保證,而FullCert提供確定性保證。
FullCert能夠同時對抗訓練時間和推論時間攻擊,而現有方法只能處理其中之一。
在Two-Moons和MNIST 1/7數據集上,FullCert能夠在小的擾動範圍內提供60%到75%的認證準確率。
引述
"FullCert - 第一個能夠對抗訓練時間和推論時間攻擊的確定性端到端神經網絡認證器。"
"FullCert通過可達性分析(基於抽象解釋)來計算訓練和推論過程中的上界,從而保證模型的健壯性。"