本文提出了FullCert,這是第一個能夠對抗訓練時間和推論時間攻擊的確定性端到端神經網絡認證器。
首先,作者定義了確定性端到端神經網絡認證問題。在訓練階段,作者界定了一個包含所有可能的訓練數據擾動的集合,並將其傳播到模型參數。在推論階段,作者將這些參數擾動的影響傳播到模型的輸出,從而得到對抗訓練和推論攻擊的聯合健壯性保證。
為了解決這個問題,作者提出了基於可達性分析(抽象解釋)的方法。具體來說,作者使用區間上界來表示訓練數據和模型參數的擾動,並定義了相應的抽象運算來傳播這些上界。這確保了所有可能的擾動都被考慮在內,從而得到確定性的健壯性保證。
作者還提出了一個新的開源庫BoundFlow,它實現了這種基於區間的端到端認證方法。實驗結果表明,FullCert在小規模數據集上是可行的,並且能夠提供確定性的健壯性保證。
翻译成其他语言
从原文生成
arxiv.org
更深入的查询