在碎片化閱讀充斥眼球的時代，越來越少的人會去關注每篇論文背后的探索和思考。在這個欄目里，你會快速 get 每篇精選論文的亮點和痛點，時刻緊跟 AI 前沿成果。

本期我們篩選了 9?篇「對抗樣本」領域的最新論文，一起來看看讀過這些論文的推薦人的推薦理由與個人評價吧！

本期推薦人：孫裕道，北京郵電大學網絡空間安全學院在讀博士生，主要研究方向為 GAN 圖像生成和人臉，情緒對抗樣本生成。

#Adversarial Attack

本文來自清華大學和騰訊 AI Lab。黑盒對抗攻擊是所有對抗攻擊中難度最高的，因為模型的結構和參數以及訓練的數據集都未知，只能通過對 AI 模型進行查詢獲得信息。標準的 ES（進化策略）算法可以進行黑盒攻擊，其中高斯分布作為搜索分布被廣泛采用。然而，它可能不夠靈活，無法捕捉不同良性樣本周圍對抗擾動的不同分布。

該論文提出了一個新的策略，通過一個基于條件流的模型將高斯分布變量轉換到另一個空間，以增強捕捉良性樣本上的對抗擾動的內在分布的能力和靈活性。此外還在一些白盒代理模型的基礎上，利用對抗擾動在不同模型間的可傳遞性，對條件流模型進行預訓練。實驗結果表明該策略可以同時利用基于查詢和基于轉移的攻擊方法，在有效性和效率上達到令人滿意的攻擊效果。

* 論文標題：Efficient Black-Box Adversarial Attack Guided by the Distribution of Adversarial Perturbations

* 論文鏈接：http://www.paperweekly.site/papers/3861

#Adversarial Attack

本文來自丹麥奧爾堡大學。在對抗樣本的防御中，神經網絡的魯棒性是一個重要的方向，但是很多研究對魯棒性的定義不盡相同，缺乏精確的共同基礎的魯棒性概念。

在該論文中，作者提出了一個嚴格而靈活的框架來定義不同類型的魯棒性，這有助于解釋魯棒性和泛化之間的相互作用。論文也給出了最小化相應損失函數的有效方法。一個損失是為了增強對抗非流形攻擊的魯棒性，另一個損失是為了提高給定數據分布下的泛化能力。

實驗結果表明，與目前最先進的數據增強和正則化技術相比，我們可以在不同的魯棒性目標下進行有效的訓練，獲得更高的魯棒性得分和更好的泛化能力。

* 論文標題：A general framework for defining and optimizing robustness

* 論文鏈接：http://www.paperweekly.site/papers/3905

#Adversarial Training

本文來自多倫多大學的向量研究所。對抗訓練是提高深度神經網絡魯棒性的常用方法。該論文用一種新的正則化方法代替對抗訓練。在魯棒優化框架下建立了對抗魯棒性問題，提出了一個二階對抗正則化器（SOAR），通過二階泰勒級數展開逼近損失函數，實驗表明，該方法提高了網絡對 CIFAR10 數據集的魯棒性。論文推薦指數：3顆星。

* 論文標題：Adversarial Robustness through Regularization: A Second-Order Approach

* 論文鏈接：https://www.paperweekly.site/papers/3897

#Contrastive Learning

本文來自韓國科學技術院。現有對抗樣本生成方法（如 FGSM，PGD，CW，JSMA，和 AdvGAN 等）大多使用類標簽來生成導致 AI 模型預測錯誤。為了提高模型的魯棒性會利用對抗樣本進行對抗訓練。

該文提出了一種新的針對未標記數據的對抗攻擊方法，并且提出了一個自監督對比學習框架來訓練一個無標記數據的魯棒神經網絡，其目的是最大限度地提高增強的數據樣本與對抗擾動之間的相似性。實驗結果表明，該方法獲得了與最先進的監督對抗性學習方法相當的魯棒精度，并且顯著提高了對黑盒攻擊和不可見攻擊的魯棒性。

* 論文標題：Adversarial Self-Supervised Contrastive Learning

* 論文鏈接：https://www.paperweekly.site/papers/3869

#CVPR?2020

本文是中國電子科技大學和曠視科技發表于 CVPR 2020?的工作。機器學習模型存在對抗性樣本攻擊的可能性。黑盒攻擊模式下，當前的替身攻擊（Substitute Attacks）需要使用預訓練模型生成對抗性樣本，再通過樣本遷移性攻擊目標模型。但是實際任務中，獲得這樣的預訓練模型很困難。

本文提出一種替身模型訓練方法——DaST，無需任何真實數據即可獲得對抗性黑盒攻擊的替身模型。DaST 利用專門設計的生成對抗網絡（GAN）訓練替身模型，并且針對生成模型設計多分支架構和標簽控制損失，以處理 GAN 生成數據分布不勻的問題。然后，使用 GAN 生成器生成的樣本訓練分類器（即替身模型），樣本的標簽為目標模型的輸出。

實驗表明，相較基準替身模型，DaST 生產的替身模型可實現具有競爭力的性能。此外，為評估所該方法的實用性，本文在 Microsoft Azure 平臺上攻擊了在線機器學習模型，在線模型錯誤地分類了本文方法生成的 98.35％?的對抗性樣本。據知，這是首個無需任何真實數據即可生成替身模型并用來產生對抗攻擊的工作。

* 論文標題：DaST: Data-free Substitute Training for Adversarial Attacks

* 論文鏈接：http://www.paperweekly.site/papers/3901

*?源碼鏈接：https://github.com/zhoumingyi/DaST

#Adversarial Examples

本文來自新澤西理工學院。黑盒對抗攻擊由于無法獲取模型的參數信息和網絡結構信息，只能通過查詢的方式獲取分類結果信息，所以對抗樣本的可遷移性是攻擊黑盒模型很重要的特性。

本文證明了黑盒攻擊對 0-1 損失模型的有效性低于凸模型，并且 0-1 損失模型攻擊對凸模型和 0-1 損失模型都無效。實驗結果表明，在雙層神經網絡中，0-1 損失的不連續性會使得對抗樣本在 AI 模型之間不可遷移。

* 論文標題：On the transferability of adversarial examples between convex and 01 loss models

* 論文鏈接：https://www.paperweekly.site/papers/3877

*?源碼鏈接：https://github.com/zero-one-loss/mlp01

#IJCAI?2019

本文來自阿里巴巴。對抗樣本可以導致機器學習模型的誤分類，對抗樣本中對抗擾動的可以基于梯度方法生成如 FGSM，PGD，也可以基于優化的方法生成如 CW 和 JSMA，但這些方法產生的擾動只依賴于輸入圖像。

本文提出了一個通用的框架，可以根據輸入圖像和目標標簽推斷目標條件擾動。與以往的單目標攻擊模型不同，該模型通過學習攻擊目標與圖像語義的關系來進行目標條件攻擊。通過對 MNIST 和 CIFAR10 數據集的大量實驗，證明了該方法在單目標攻擊模型下取得了較好的性能，在小擾動范數下獲得了較高的欺騙率。

* 論文標題：GAP++: Learning to generate target-conditioned adversarial example

* 論文鏈接：http://www.paperweekly.site/papers/3830

#Recommender Systems

推薦系統（RS）在各大軟件平臺得到的廣泛的應用，如影視推薦，音樂推薦，新聞推薦，書單推薦等。但近些年來的研究表明，推薦系統容易受到對抗樣本的攻擊，用戶交互數據可能受到惡意活動或用戶誤操作的污染，從而導致不可預測的自然噪聲和危害推薦結果。

本文詳細介紹了當前有關攻擊和防御推薦模型的最新進展，并且提供了 60 多篇主要發表在 RS（推薦系統）和 ML（機器學習）的期刊和會議上的文章。該論文為 RS 社區提供了參考，致力于推薦模型的安全性。

* 論文標題：Adversarial Machine Learning in Recommender Systems: State of the art and Challenges

* 論文鏈接：http://www.paperweekly.site/papers/3846

#Adversarial Examples

本文來自 UC San Diego。Deepfake 技術使得假視頻生成更加容易，在多媒體環境中導致假視頻泛濫，滋生虛假信息，降低媒體的信任度。因此，對假視頻的檢測引起了學術界和工業界的極大興趣。最近發展起來的依靠深度神經網絡的視頻檢測方法可以區分人工智能生成的假視頻和真實視頻。

本文證明了對現有 Deepfake 方法合成的假視頻進行反向修改來繞過 Deepfake 檢測器的可能性，并且在白盒和黑盒攻擊場景中通過提供管道，可以欺騙基于 DNN 的 Deepfake 檢測器，將假視頻分類為真實視頻。

* 論文標題：Adversarial Deepfakes: Evaluating Vulnerability of Deepfake Detectors to Adversarial Examples

* 論文鏈接：http://www.paperweekly.site/papers/3844

更多閱讀

????

現在，在「知乎」也能找到我們了

進入知乎首頁搜索「PaperWeekly」

點擊「關注」訂閱我們的專欄吧

關于PaperWeekly

PaperWeekly 是一個推薦、解讀、討論、報道人工智能前沿論文成果的學術平臺。如果你研究或從事 AI 領域，歡迎在公眾號后臺點擊「交流群」，小助手將把你帶入 PaperWeekly 的交流群里。

總結

以上是生活随笔為你收集整理的建议收藏！近期值得读的 9 篇「对抗样本」最新论文的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。