Hinton团队胶囊网络新进展:两种方法加持,精准检测防御对抗性攻击

选自arXiv

作者：YaoQin、GeoffreyHinton等

机器之心编译

参与：王子嘉、GeekAI

论文地址：

引言

在本文中，我们提出了一种基于胶囊层（Capsulelayer，Sabouretal.,2017;Qinetal.,2020）的网络和检测机制，它可以精确地检测到攻击，对于未检测到的攻击，它通常也可以迫使攻击者生成类似于目标类的图像（从而使它们被偏转）。我们的网络结构由两部分组成：对输入进行分类的胶囊分类网络，以及根据预测的胶囊（predictedcapsule）的姿态参数（poseparameters）重建输入图像的重建网络。

图3：具有循环一致性的胜出的胶囊重建（cycle-consistentwinningcapsulereconstructions）网络架构。

除了（Sabouretal.,2017;Qinetal.,2020）中使用的分类损失和L2重建损失外，我们还引入了一个额外的循环一致性训练损失，该训练损失迫使胜出的胶囊重建结果的分类与原始输入的分类相同。这种新的辅助训练损失促使重建更严格地匹配有类别条件的分布，而且也对模型检测和偏转对抗攻击有所帮助。

此外，我们基于对干净的输入和对抗性输入的胜出胶囊重建之间的差异，提出了两种新的攻击不可知的检测方法。我们证明，在SVHN和CIFAR-10数据集上，基于三种不同的变形度量——EAD（Chenetal.，2018）、CW（CarliniWagner,2017b）和PGD（Madryetal.，2017）证明了，该方法可以准确地检测白盒和黑盒攻击。

检测方式

在本文中，我们使用三种基于重建的检测方法来检测标准攻击。这三种方法分别是：（1）最早由Qin等人在2020年提出的全局阈值检测器（GlobalThresholdDetector，GTD），局部最优检测器（LocalBestDetector，LBD）和循环一致性检测器（Cycle-ConsistencyDetector，CCD）。

全局阈值检测器

当输入被对抗性攻击扰动时，对输入的分类结果可能是不正确的，但是重建结果常常是模糊的，因此对抗性输入和重建结果之间的距离比期望的正常输入与重建结果之间的距离要大。这使得我们可以通过全局阈值检测器检测出对抗性输入。这种Qin等人于2020年发表的论文中提出的方法，测量了输入与胜出胶囊的重建结果之间的重建误差。如果重建误差大于全局阈值θ:

那么输入就会被标记为对抗性样本。

局部最优检测器

当输入是一个干净的（clean）图像时，胜出胶囊的重建误差小于失败胶囊的重建误差，相关示例如图4的第一行所示。

然而，当输入是一个对抗示例时，与胜出的胶囊对应的重建结果相比，从对应于正确标签的胶囊进行重建的结果更接近于输入（见图4中的第二行）。