对对抗攻击的脆弱性是在安全至关重要应用中采用深度学习的主要障碍之一。尽管做出了巨大的努力,但无论是实用还是理论上的,培训深度学习模型对对抗性攻击仍然是一个悬而未决的问题。在本文中,我们分析了大数据,贝叶斯神经网络(BNNS)中的对抗性攻击的几何形状。我们表明,在限制下,由于数据分布的堕落而产生了基于梯度的攻击的脆弱性,即当数据位于环境空间的较低维度的亚策略上时。直接结果,我们证明,在此限制下,BNN后代对基于梯度的对抗性攻击是强大的。至关重要的是,我们证明,即使从后部采样的每个神经网络都很容易受到基于梯度的攻击,因此相对于BNN后验分布的预期损失梯度正在消失。 MNIST,时尚MNIST和半卫星数据集的实验结果,代表有限的数据制度,并接受了汉密尔顿蒙特卡洛和变异推理的BNN,支持这一论点,表明BNN可以在清洁数据和稳健性上表现出很高的精度对基于梯度和无梯度的对抗性攻击。
translated by 谷歌翻译