15.2 对抗防御技术:对抗训练、输入转换与认证防御
深度神经网络因其在关键领域的广泛应用,其安全性至关重要。然而,研究揭示,通过在原始输入上添加人类难以察觉的精心构造的微小扰动,可以生成对抗样本,导致模型以高置信度做出错误预测。这种脆弱性对自动驾驶、身份认证和医疗诊断等高风险应用构成了严重威胁。因此,发展有效的对抗防御技术是构建可信人工智能系统的核心环节。
对抗防御旨在提升模型对对抗样本的鲁棒性。依据其核心思想与介入阶段,主要防御范式可分为三类:在训练阶段提升模型内在鲁棒性的对抗训练;在推理阶段对输入进行净化或变换的输入转换;以及提供理论可证明安全保证的认证防御。这三种范式并非互斥,在实际系统中常被结合使用,以构建纵深防御体系。
15.2.1 对抗训练:构建鲁棒模型的基石
对抗训练是目前最有效、最基础的防御方法之一。其核心思想源于鲁棒优化,将防御问题形式化为一个极小-极大问题,通过将对抗样本显式地纳入训练过程,迫使模型学习在扰动下的稳定特征。
15.2.1.1 理论基础与标准形式
给定一个分类器fθf_\thetafθ(参数为θ\thetaθ)、数据分布D\mathcal{D}D和损失函数L\mathcal{L}L,对抗训练的目标可表述为:
minθE(x,y)∼D[maxδ∈SL(fθ(x+δ),y)] \min_{\theta} \mathbb{E}_{(x,y)\sim\mathcal{D}} \left[ \max_{\delta \in \mathcal{S}} \mathcal{L}(f_\theta(x+\delta), y) \right]θminE(x,y)∼D[δ∈SmaxL(fθ(x+δ),y)]
其中,xxx是原始输入,yyy是其标签,δ\deltaδ是施加的扰动,S\mathcal{S}S是一个约束扰动大小的集合(如∥δ∥∞≤ϵ\|\delta\|_\infty \leq \epsilon∥δ∥∞
)
