Continual Learning is a step towards lifelong intelligence where models continuously learn from recently collected data without forgetting previous knowledge. Existing continual learning approaches mostly focus on image classification in the class-incremental setup with clear task boundaries and unlimited computational budget. This work explores Online Domain-Incremental Continual Segmentation~(ODICS), a real-world problem that arises in many applications, \eg, autonomous driving. In ODICS, the model is continually presented with batches of densely labeled images from different domains; computation is limited and no information about the task boundaries is available. In autonomous driving, this may correspond to the realistic scenario of training a segmentation model over time on a sequence of cities. We analyze several existing continual learning methods and show that they do not perform well in this setting despite working well in class-incremental segmentation. We propose SimCS, a parameter-free method complementary to existing ones that leverages simulated data as a continual learning regularizer. Extensive experiments show consistent improvements over different types of continual learning methods that use regularizers and even replay.

在大型数据集上，对视力任务的深度学习模型进行了培训，因为存在一个通用表示，可用于对所有样本进行预测。尽管事实证明，高复杂性模型能够学习此类表示，但对数据的特定子集进行了培训的专家，可以更有效地推断出标签。然而，使用专家的混合物会提出两个新问题，即（i）在提出新的看不见的样本时分配正确的专家。 （ii）找到培训数据的最佳分区，以使专家最依赖于共同特征。在动态路由（DR）中，提出了一个新颖的体系结构，其中每层由一组专家组成，但是在没有解决这两个挑战的情况下，我们证明该模型可以恢复使用相同的专家子集。在我们的方法中，对多元化的动态路由（DIVDR）进行了明确培训，以解决找到数据相关分区并以无监督的方法分配正确的专家的挑战。我们对MS-Coco的城市景观和对象检测以及实例分割进行了几项实验，显示了几个基线的性能的改善。

部署到现实世界的自主智能代理必须与对感官输入的对抗性攻击保持强大的态度。在加强学习中的现有工作集中于最小值扰动攻击，这些攻击最初是为了模仿计算机视觉中感知不变性的概念。在本文中，我们注意到，这种最小值扰动攻击可以由受害者琐碎地检测到，因为这些导致观察序列与受害者的行为不符。此外，许多现实世界中的代理商（例如物理机器人）通常在人类主管下运行，这些代理商不容易受到这种扰动攻击的影响。结果，我们建议专注于幻觉攻击，这是一种与受害者的世界模式一致的新型攻击形式。我们为这个新颖的攻击框架提供了正式的定义，在各种条件下探索了其特征，并得出结论，代理必须寻求现实主义反馈以对幻觉攻击具有强大的态度。

尽管在构建强大的神经网络方面具有明显的计算优势，但使用单步方法的对抗训练（AT）是不稳定的，因为它遭受了灾难性的过度拟合（CO）：网络在对抗性训练的第一阶段获得了非平凡的鲁棒性，但突然达到了一个阶段在几次迭代中，他们很快失去了所有鲁棒性。尽管有些作品成功地预防了CO，但导致这种显着失败模式的不同机制仍然很少理解。但是，在这项工作中，我们发现数据结构与AT动力学之间的相互作用在CO中起着基本作用。特别是，通过对自然图像的典型数据集进行主动干预，我们建立了一个因果关系。在方法上单步中的数据和CO的发作。这种新的观点提供了对导致CO的机制的重要见解，并为更好地理解强大模型构建的一般动态铺平了道路。可以在https://github.com/gortizji/co_features上找到复制本文实验的代码。

最近，Wong等人。表明，使用单步FGSM的对抗训练导致一种名为灾难性过度拟合（CO）的特征故障模式，其中模型突然变得容易受到多步攻击的影响。他们表明，在FGSM（RS-FGSM）之前添加随机扰动似乎足以防止CO。但是，Andriushchenko和Flammarion观察到RS-FGSM仍会导致更大的扰动，并提出了一个昂贵的常规化器（Gradalign），DEMATER（GARGALIGN）DES昂贵（Gradalign）Dust Forrasiniger（Gradalign）Dust co避免在这项工作中，我们有条不紊地重新审视了噪声和剪辑在单步对抗训练中的作用。与以前的直觉相反，我们发现在干净的样品周围使用更强烈的噪声与不剪接相结合在避免使用大扰动半径的CO方面非常有效。基于这些观察结果，我们提出了噪声-FGSM（N-FGSM），尽管提供了单步对抗训练的好处，但在大型实验套件上没有经验分析，这表明N-FGSM能够匹配或超越以前的单步方法的性能，同时达到3 $ \ times $加速。代码可以在https://github.com/pdejorge/n-fgsm中找到

随机平滑最近被出现为一种有效的工具，可以在尺度上进行深度神经网络分类器认证。随机平滑的所有现有技术都集中在各向同性$ \ ell_p $认证，这具有通过$ \ ell_p $ -norm半径在各向同性方法中可以轻松地进行证书的优势。然而，各向同性认证限制了可以通过输入到最坏情况对手的输入的区域，即，它不能推理其他“关闭”，潜在的大，恒定的预测安全区域。为了缓解这个问题，（i）我们在简化分析后理论上将各向同性随机平滑$ \ ell_1 $和$ \ ell_2 $证明延伸到其广泛的各向异性同行。此外，（ii）我们提出了评估指标，允许比较一般证书 - 如果它通过经过认证区域的卷定量每个证书的量化，证书优于另一个证书。我们介绍ACCER，是通过体积最大化获得给定测试集样本的各向异性证书的实际框架。我们的经验结果表明，ACCER在多个半径的CIFAR-10和ImageNet上实现最先进的$ \ ell_1 $和$ \ ell_2 $认证准确性，同时在体积方面认证大幅更大的地区，从而突出了益处远离各向同性分析。我们的代码可以在https://github.com/motasemalfarra/ancer中获得。

深神经网络容易受到像素位移的矢量场的形式的输入变形，以及其他参数化几何变形。转换，旋转等。电流输入变形认证方法1.不要在大输入数据集上扩展到深网络，或者2.只能证明特定的变形类，例如，只有旋转。我们为一般矢量字段和参数化变形进行随机平滑设置的认证，并分别提出DeformRS-VF和DeformRS-PAR。我们的新配方缩放到大输入数据集上的大型网络。例如，DeformRS-PAR认证丰富的变形，覆盖转换，旋转，缩放，仿射变形和其他视觉上对准的变形，例如通过离散 - 余弦变换参数化的视觉上的变形。在MNIST，CIFAR10和Imagenet上进行了广泛的实验，显示了Deformrs-Par的竞争性能，实现了39 \％$ 39 \％$的验证准确性，以便在ImageNet上的Att [ - 10 \ dovers，10 \ dovers] $上的扰动旋转。

深度神经网络容易受到称为对抗性攻击的小输入扰动。通过迭代最大限度地减少网络对真正阶级标签的信心来构建这些对手的事实，我们提出了旨在反对这种效果的反对派层。特别地，我们的层在对手1的相反方向上产生输入扰动，并馈送分类器的输入的扰动版本。我们的方法是无培训和理论上的支持。我们通过将我们的层与名义上和强大的培训模型组合来验证我们的方法的有效性，并从黑盒进行大规模实验到CIFAR10，CIFAR100和ImageNet的自适应攻击。我们的层显着提高了模型鲁棒性，同时在清洁准确性上没有成本。

随机平滑是一种最近的技术，可以在训练中实现最先进的性能，从而确认强大的深度神经网络。虽然平滑的分布家族通常连接到用于认证的规范的选择，但这些分布的参数始终将其视为全局超级参数，独立于网络认证的输入数据。在这项工作中，我们重新访问高斯随机平滑，并表明可以在每个输入时优化高斯分布的方差，以最大程度地提高构建平滑分类器的认证半径。由于数据依赖性分类器未直接使用现有方法享受合理的认证，因此我们提出了一个可通过构造认证的记忆增强数据依赖的平滑分类器。这种新方法是通用，无参数且易于实现的。实际上，我们表明我们的数据依赖框架可以无缝地纳入3种随机平滑方法中，从而导致一致的提高认证准确性。当这些方法的训练例程中使用此框架，然后是数据依赖性认证时，我们比CIFAR10和Imagenet上0.5的最强基线的认证准确度提高了9％和6％。

本文研究了深度神经网络训练期间的语义对齐功能如何增加网络鲁棒性。最近的作品观察到对抗性训练导致强大的模型，其学众的特征似乎与人类感知相关。通过这种联系的启发，从鲁棒性到语义，我们研究了互补的连接：从语义到鲁棒性。为此，我们为基于距离的分类模型（基于群集的分类器）提供了一种稳健性证书。此外，我们表明该证书紧张，我们利用它提出植入攻击（鲁棒性培训），是一种基于集群和对抗的培训框架来学习强大的模型。有趣的是，\ Textit {Clustr}在强大的PGD攻击下优于普遍训练的网络，高达4 \％$ 4 \％。