盖世汽车讯 随着深度学习技术的发展，提高算法的鲁棒性变得至关重要。在执行诸如自动驾驶、欺骗检测和面部识别等安全关键任务时，对抗性样本攻击一直都是一大挑战。通常，此种对抗性输入肉眼无法察觉，却可以对AI系统构成威胁，或导致系统出错。例如，自动驾驶汽车被入侵，可能导致车速提高，或者被路牌上粘贴的贴纸误导，而驶入错误的车道。

（图片来源：analyticsindiamag.com）

据外媒报道，伊利诺伊大学香槟分校（University of Illinois at Urbana-Champaign）的研究人员提出了一种新方法来训练端到端基于深度学习的对抗问题解决模型，旨在了解对抗性攻击（adversarial attacks）对于测量空间而非信号空间的影响。

研究人员表示，修改训练策略可以优化模型的安全性和鲁棒性。训练模型以对抗攻击影响的有效方法之一是使用对抗示例，对于分类设置比较有效。最小——最大优化公式类似于生成式对抗网络（GAN），但目标不同，因此与GAN相比需要做一些改变。

为此，研究人员引入辅助网络来创建对抗攻击示例，这些示例被用于最小——最大优化公式。对抗性训练需要解决模型的两个优化问题，即使损失最大化的内部最大化，以及使损失最小的外部最小化。这导致了训练过程中两个网络，即攻击者和鲁棒系统之间的冲突。对于鲁棒系统，研究人员通过使用带有动量的投影梯度上升（PGA）解决了优化问题。

此外，研究人员还从理论上分析了一种线性重建方案的具体情况。他们指出，通过使用最小——最大公式，生成了奇异值滤波器正则化解决方案，掩盖了由于测量矩阵中的病态性而产生的对抗示例。

为了比较理论得出的结果和研究人员方案研究到的结果，研究人员在模拟设置中使用线性重建网络，就对抗示例生成器进行试验。试验表明，该网络与理论上得到的结果相似。

此外，研究人员进一步指出，对于用于压缩感知（CS）的深度非线性网络，该训练公式比其他传统方法显示出更高的鲁棒性。此外，当在两种不同的测量矩阵（一种条件良好，另一种条件相对较差）上试验CS时，表现大有不同。这两种情况下的反应很大程度上依赖于线性重建方案的矩阵条件。

为了测试神经网络的鲁棒性，研究人员在MNIST和CelebA数据集上测试了其经过对抗性示例训练后的网络。尽管结果并不准确，但研究人员指出，与其他方法相比，经过训练的系统能够更好地重建原始数据。研究人员还表示，该项技术还需进一步完善。