最近的研究表明，与哺乳动物视觉皮层的光谱特性相匹配的人工神经网络（ANN） - 即，神经活动的协方差矩阵的$ \ sim 1/n $特征 - 实现更高的对象识别性能和稳健性的性能对抗攻击比没有的攻击。然而，据我们所知，以前的工作没有系统地探讨修改ANN光谱属性如何影响性能。为了填补这一空白，我们对频谱正规化程序进行了系统的搜索，迫使Ann的特征范围遵循$ 1/n^\ alpha $ power Laws Laws，带有不同的指数$ \ alpha $。我们发现，较大的力量（大约2--3）可以提高验证精度，并对对浓缩网络的对抗性攻击具有更大的鲁棒性。这个令人惊讶的发现适用于浅网和深网，它推翻了这样的观念，即脑状光谱（对应于$ \ alpha \ sim 1 $）始终优化ANN性能和/或稳健性。对于卷积网络，最佳$ \ alpha $值取决于任务复杂性和评估度量：较低$ \ alpha $值优化验证精度和对对抗性攻击的稳健性，用于执行简单对象识别任务的网络（对手稿数字的MNIST图像进行分类） ;对于更复杂的任务（对CIFAR-10自然图像进行分类），我们发现较低的$ \ alpha $值优化验证精度，而较高的$ \ alpha $值优化的对抗性稳健性。这些结果具有两个主要含义。首先，他们对脑般的光谱属性（$ \ alpha \ sim 1 $）\ emph {始终}优化ANN性能的观念提出了怀疑。其次，它们证明了微调光谱正规化器优化所选设计度量的潜力，即准确性和/或鲁棒性。

随着卷积神经网络（CNN）在物体识别方面变得更加准确，它们的表示与灵长类动物的视觉系统越来越相似。这一发现激发了我们和其他研究人员询问该含义是否也以另一种方式运行：如果CNN表示更像大脑，网络会变得更加准确吗？以前解决这个问题的尝试显示出非常适中的准确性，部分原因是正则化方法的局限性。为了克服这些局限性，我们开发了一种新的CNN神经数据正常化程序，该数据正常化程序使用深层规范相关分析（DCCA）来优化CNN图像表示与猴子视觉皮层的相似之处。使用这种新的神经数据正常化程序，与先前的最新神经数据正则化器相比，我们看到分类准确性和少级精度的性能提高得多。这些网络对对抗性攻击也比未注册的攻击更强大。这些结果共同证实，神经数据正则化可以提高CNN的性能，并引入了一种获得更大性能提升的新方法。

Recent work has demonstrated that deep neural networks are vulnerable to adversarial examples-inputs that are almost indistinguishable from natural data and yet classified incorrectly by the network. In fact, some of the latest findings suggest that the existence of adversarial attacks may be an inherent weakness of deep learning models. To address this problem, we study the adversarial robustness of neural networks through the lens of robust optimization. This approach provides us with a broad and unifying view on much of the prior work on this topic. Its principled nature also enables us to identify methods for both training and attacking neural networks that are reliable and, in a certain sense, universal. In particular, they specify a concrete security guarantee that would protect against any adversary. These methods let us train networks with significantly improved resistance to a wide range of adversarial attacks. They also suggest the notion of security against a first-order adversary as a natural and broad security guarantee. We believe that robustness against such well-defined classes of adversaries is an important stepping stone towards fully resistant deep learning models. 1

深度学习模型在众多图像识别，分类和重建任务中表现出令人难以置信的性能。虽然由于其预测能力而非常吸引人和有价值，但一个共同的威胁仍然挑战。一个专门训练的攻击者可以引入恶意输入扰动来欺骗网络，从而导致可能有害的错误预测。此外，当对手完全访问目标模型（白盒）时，这些攻击可以成功，即使这种访问受限（黑盒设置）。模型的集合可以防止这种攻击，但在其成员（攻击转移性）中的共享漏洞下可能是脆弱的。为此，这项工作提出了一种新的多样性促进深度集成的学习方法。该想法是促进巩固地图多样性（SMD）在集合成员上，以防止攻击者通过在我们的学习目标中引入额外的术语来实现所有集合成员。在培训期间，这有助于我们最大限度地减少模型炼塞之间的对齐，以减少共享成员漏洞，从而增加对对手的合并稳健性。我们经验展示了与中型和高强度白盒攻击相比，集合成员与改进性能之间的可转换性降低。此外，我们证明我们的方法与现有方法相结合，优于白色盒子和黑匣子攻击下的防御最先进的集合算法。

已知深度神经网络（DNN）容易受到用不可察觉的扰动制作的对抗性示例的影响，即，输入图像的微小变化会引起错误的分类，从而威胁着基于深度学习的部署系统的可靠性。经常采用对抗训练（AT）来通过训练损坏和干净的数据的混合物来提高DNN的鲁棒性。但是，大多数基于AT的方法在处理\ textit {转移的对抗示例}方面是无效的，这些方法是生成以欺骗各种防御模型的生成的，因此无法满足现实情况下提出的概括要求。此外，对抗性训练一般的国防模型不能对具有扰动的输入产生可解释的预测，而不同的领域专家则需要一个高度可解释的强大模型才能了解DNN的行为。在这项工作中，我们提出了一种基于Jacobian规范和选择性输入梯度正则化（J-SIGR）的方法，该方法通过Jacobian归一化提出了线性化的鲁棒性，还将基于扰动的显着性图正规化，以模仿模型的可解释预测。因此，我们既可以提高DNN的防御能力和高解释性。最后，我们评估了跨不同体系结构的方法，以针对强大的对抗性攻击。实验表明，提出的J-Sigr赋予了针对转移的对抗攻击的鲁棒性，我们还表明，来自神经网络的预测易于解释。

神经科学家和机器学习研究人员通常引用对抗的例子，作为计算模型如何从生物感官系统发散的示例。最近的工作已经提出将生物启发组件添加到视觉神经网络中，作为提高其对抗性鲁棒性的一种方式。一种令人惊讶的有效组分，用于减少对抗性脆弱性是响应随机性，例如由生物神经元呈现的响应性随机性。在这里，使用最近开发的从计算神经科学的几何技术，我们研究了对抗性扰动如何影响标准，前列培训和生物学启发的随机网络的内部表示。我们为每种类型的网络找到了不同的几何签名，揭示了实现稳健表示的不同机制。接下来，我们将这些结果概括为听觉域，表明神经插值性也使听觉模型对对抗对抗扰动更鲁棒。随机网络的几何分析揭示了清洁和离前动脉扰动刺激的表示之间的重叠，并且定量表现出随机性的竞争几何效果在对抗和清洁性能之间调解权衡。我们的结果阐明了通过对外内培训和随机网络利用的强大感知的策略，并帮助解释了随机性如何有利于机器和生物计算。

While neural networks have achieved high accuracy on standard image classification benchmarks, their accuracy drops to nearly zero in the presence of small adversarial perturbations to test inputs. Defenses based on regularization and adversarial training have been proposed, but often followed by new, stronger attacks that defeat these defenses. Can we somehow end this arms race? In this work, we study this problem for neural networks with one hidden layer. We first propose a method based on a semidefinite relaxation that outputs a certificate that for a given network and test input, no attack can force the error to exceed a certain value. Second, as this certificate is differentiable, we jointly optimize it with the network parameters, providing an adaptive regularizer that encourages robustness against all attacks. On MNIST, our approach produces a network and a certificate that no attack that perturbs each pixel by at most = 0.1 can cause more than 35% test error.

深度神经网络在计算机视觉中的许多任务中设定了最先进的，但它们的概括对象扭曲的能力令人惊讶地是脆弱的。相比之下，哺乳动物视觉系统对广泛的扰动是强大的。最近的工作表明，这种泛化能力可以通过在整个视觉皮层中的视觉刺激的表示中编码的有用的电感偏差来解释。在这里，我们成功利用了多任务学习方法的这些归纳偏差：我们共同训练了深度网络以进行图像分类并预测猕猴初级视觉皮层（V1）中的神经活动。我们通过测试其对图像扭曲的鲁棒性来衡量我们网络的分发广泛性能力。我们发现，尽管在训练期间没有这些扭曲，但猴子V1数据的共同训练导致鲁棒性增加。此外，我们表明，我们的网络的鲁棒性非常接近Oracle网络的稳定性，其中架构的部分在嘈杂的图像上直接培训。我们的结果还表明，随着鲁布利的改善，网络的表示变得更加大脑。使用新颖的约束重建分析，我们调查了我们的大脑正规网络更加强大的原因。与我们仅对图像分类接受培训的基线网络相比，我们的共同训练网络对内容比噪声更敏感。使用深度预测的显着性图，用于想象成像图像，我们发现我们的猴子共同训练的网络对场景中的突出区域倾向更敏感，让人想起V1在对象边界的检测中的作用和自下而上的角色显着性。总体而言，我们的工作扩大了从大脑转移归纳偏见的有前途的研究途径，并为我们转移的影响提供了新的分析。

The authors thank Nicholas Carlini (UC Berkeley) and Dimitris Tsipras (MIT) for feedback to improve the survey quality. We also acknowledge X. Huang (Uni. Liverpool), K. R. Reddy (IISC), E. Valle (UNICAMP), Y. Yoo (CLAIR) and others for providing pointers to make the survey more comprehensive.

已知神经网络容易受到对抗性攻击的影响 - 轻微但精心构建的输入扰动，这会造成巨大损害网络的性能。已经提出了许多防御方法来通过培训对抗对抗扰动的投入来改善深网络的稳健性。然而，这些模型通常仍然容易受到在训练期间没有看到的新类型的攻击，甚至在以前看到的攻击中稍微强大。在这项工作中，我们提出了一种新的对抗性稳健性的方法，这在域适应领域的见解中建立了洞察力。我们的方法称为对抗性特征脱敏（AFD），目的是学习功能，这些特征是不变的对输入的对抗扰动。这是通过游戏实现的，我们学习了预测和鲁棒（对对抗性攻击不敏感）的特征，即不能用于区分自然和对抗数据。若干基准测试的经验结果证明了提出的方法对广泛的攻击类型和攻击优势的有效性。我们的代码可在https://github.com/bashivanlab/afd获得。

对抗性训练及其变体已成为使用神经网络实现对抗性稳健分类的普遍方法。但是，它的计算成本增加，以及标准性能和稳健性能之间的显着差距阻碍了进步，并提出了我们是否可以做得更好的问题。在这项工作中，我们退后一步，问：模型可以通过适当优化的集合通过标准培训来实现鲁棒性吗？为此，我们设计了一种用于鲁棒分类的元学习方法，该方法以原则性的方式在部署之前优化了数据集，并旨在有效地删除数据的非稳定部分。我们将优化方法作为内核回归的多步PGD程序进行了，其中一类核描述了无限宽的神经网（神经切线核-NTKS）。 MNIST和CIFAR-10的实验表明，当在内核回归分类器和神经网络中部署时，我们生成的数据集对PGD攻击都非常鲁棒性。但是，这种鲁棒性有些谬误，因为替代性攻击设法欺骗了模型，我们发现文献中以前的类似作品也是如此。我们讨论了这一点的潜在原因，并概述了进一步的研究途径。

Deep neural networks excel at learning the training data, but often provide incorrect and confident predictions when evaluated on slightly different test examples. This includes distribution shifts, outliers, and adversarial examples. To address these issues, we propose Manifold Mixup, a simple regularizer that encourages neural networks to predict less confidently on interpolations of hidden representations. Manifold Mixup leverages semantic interpolations as additional training signal, obtaining neural networks with smoother decision boundaries at multiple levels of representation. As a result, neural networks trained with Manifold Mixup learn class-representations with fewer directions of variance. We prove theory on why this flattening happens under ideal conditions, validate it on practical situations, and connect it to previous works on information theory and generalization. In spite of incurring no significant computation and being implemented in a few lines of code, Manifold Mixup improves strong baselines in supervised learning, robustness to single-step adversarial attacks, and test log-likelihood.

尽管机器学习系统的效率和可扩展性，但最近的研究表明，许多分类方法，尤其是深神经网络（DNN），易受对抗的例子;即，仔细制作欺骗训练有素的分类模型的例子，同时无法区分从自然数据到人类。这使得在安全关键区域中应用DNN或相关方法可能不安全。由于这个问题是由Biggio等人确定的。 （2013）和Szegedy等人。（2014年），在这一领域已经完成了很多工作，包括开发攻击方法，以产生对抗的例子和防御技术的构建防范这些例子。本文旨在向统计界介绍这一主题及其最新发展，主要关注对抗性示例的产生和保护。在数值实验中使用的计算代码（在Python和R）公开可用于读者探讨调查的方法。本文希望提交人们将鼓励更多统计学人员在这种重要的令人兴奋的领域的产生和捍卫对抗的例子。

Neural networks provide state-of-the-art results for most machine learning tasks. Unfortunately, neural networks are vulnerable to adversarial examples: given an input x and any target classification t, it is possible to find a new input x that is similar to x but classified as t. This makes it difficult to apply neural networks in security-critical areas. Defensive distillation is a recently proposed approach that can take an arbitrary neural network, and increase its robustness, reducing the success rate of current attacks' ability to find adversarial examples from 95% to 0.5%.In this paper, we demonstrate that defensive distillation does not significantly increase the robustness of neural networks by introducing three new attack algorithms that are successful on both distilled and undistilled neural networks with 100% probability. Our attacks are tailored to three distance metrics used previously in the literature, and when compared to previous adversarial example generation algorithms, our attacks are often much more effective (and never worse). Furthermore, we propose using high-confidence adversarial examples in a simple transferability test we show can also be used to break defensive distillation. We hope our attacks will be used as a benchmark in future defense attempts to create neural networks that resist adversarial examples.

对最先进的机器学习模型的对抗性攻击对关键任务自治系统的安全和安全构成了重大威胁。本文考虑了机器学习模型的其他脆弱性，当攻击者可以衡量其基础硬件平台的功耗。特别是，我们探讨了对非易失性存储器横杆单层神经网络的对抗性攻击的功耗信息的实用性。我们从MNIST和CIFAR-10数据集进行的实验结果表明，功耗可以揭示有关神经网络的重量矩阵的重要信息，例如其列的1符号。该信息可用于推断网络损失相对于不同输入的敏感性。我们还发现，利用横杆力量信息的基于替代的黑匣子攻击可以提高攻击效率。

灵长类动物的视觉系统是强大感知的黄金标准。因此，人们普遍认为，模仿这些系统基础的神经表现形式将产生具有对手稳健的人工视觉系统。在这项工作中，我们开发了一种直接对灵长类动物大脑活动进行对抗性视觉攻击的方法。然后，我们利用这种方法来证明上述信念可能不是很好的基础。具体而言，我们报告说，组成灵长类动物视觉系统的生物神经元表现出对对抗性扰动的敏感性，这些扰动与现有（训练有素的）人工神经网络相当。

神经网络在与噪声扰动的图像分类中的精度较小。 CNN卷积神经网络以其在良性图像的分类中无与伦比的精度而闻名。但是我们的研究表明，它们极易受到噪声的攻击，而馈送前向神经网络，FNN与噪声扰动的对应性较小，几乎不受干扰地保持其准确性。观察到FNN可以更好地分类噪声密集的单通道图像，而这些图像只是人类视觉的巨大噪音。在我们的研究中，我们使用了以下架构的手写数字数据集，MNIST：具有1和2个隐藏层和CNN的FNN，带有3、4、6和8卷积，并分析了其准确性。 FNN脱颖而出表明，无论噪声强度如何，它们的分类精度超过85％。在我们通过此数据对CNN的分析中，CNN的分类准确性减速8卷积是其余CNN的一半。准确性趋势的相关分析和数学建模是这些结论的路线图。

深度学习模型已被用于各种各样的任务。它们在计算机视觉，自然语言处理，语音识别等领域普遍存在。虽然这些模型在许多情况下工作得很好，但已经表明他们容易受到对抗的攻击。这导致了对途径的研究扩散，即可以识别和/或捍卫这种攻击。我们的目标是探讨可以归因于使用多个底层模型的贡献，以用于对冲实例检测。我们的论文描述了两种方法，该方法包含来自多种模型的表示，用于检测对抗性示例。我们设计了控制实验，用于测量逐步使用额外模型的检测冲击。对于我们考虑的许多场景，结果表明，性能随着用于提取表示的底层模型的数量而增加。

改善深度神经网络（DNN）对抗对抗示例的鲁棒性是安全深度学习的重要而挑战性问题。跨越现有的防御技术，具有预计梯度体面（PGD）的对抗培训是最有效的。对手训练通过最大化分类丢失，通过最大限度地减少从内在最大化生成的逆势示例的丢失来解决\ excepitient {内部最大化}生成侵略性示例的初始最大优化问题。 。因此，衡量内部最大化的衡量标准是如何对对抗性培训至关重要的。在本文中，我们提出了这种标准，即限制优化（FOSC）的一阶静止条件，以定量评估内部最大化中发现的对抗性实例的收敛质量。通过FOSC，我们发现，为了确保更好的稳健性，必须在培训的\ Texit {稍后的阶段}中具有更好的收敛质量的对抗性示例。然而，在早期阶段，高收敛质量的对抗例子不是必需的，甚至可能导致稳健性差。基于这些观察，我们提出了一种\ Texit {动态}培训策略，逐步提高产生的对抗性实例的收敛质量，这显着提高了对抗性培训的鲁棒性。我们的理论和经验结果表明了该方法的有效性。

对抗性的鲁棒性已经成为深度学习的核心目标，无论是在理论和实践中。然而，成功的方法来改善对抗的鲁棒性（如逆势训练）在不受干扰的数据上大大伤害了泛化性能。这可能会对对抗性鲁棒性如何影响现实世界系统的影响（即，如果它可以提高未受干扰的数据的准确性），许多人可能选择放弃鲁棒性）。我们提出内插对抗培训，该培训最近雇用了在对抗培训框架内基于插值的基于插值的培训方法。在CiFar -10上，对抗性训练增加了标准测试错误（当没有对手时）从4.43％到12.32％，而我们的内插对抗培训我们保留了对抗性的鲁棒性，同时实现了仅6.45％的标准测试误差。通过我们的技术，强大模型标准误差的相对增加从178.1％降至仅为45.5％。此外，我们提供内插对抗性培训的数学分析，以确认其效率，并在鲁棒性和泛化方面展示其优势。