本文提出了一种新的可达性分析工具，用于计算给定输入不确定性下的前馈神经网络的输出集的间隔过度近似。所提出的方法适应神经网络的现有混合单调性方法，用于可动力分析的动态系统，并将其应用于给定神经网络内的所有可能的部分网络。这确保了所获得的结果的交叉点是可以使用混合单调性获得的每层输出的最紧密的间隔过度近似。与文献中的其他工具相比，专注于小类分段 - 仿射或单调激活功能，我们方法的主要优势是其普遍性，它可以处理具有任何嘴唇智能连续激活功能的神经网络。此外，所提出的框架的简单性允许用户通过简单地提供函数，衍生和全局极值以及衍生物的相应参数来非常容易地添加未实现的激活功能。我们的算法经过测试，并将其与1000个随机生成的神经网络上的五个基于间隔的工具进行了比较，用于四个激活功能（Relu，Tanh，Elu，Silu）。我们表明我们的工具总是优于间隔绑定的传播方法，并且我们获得比Reluval，神经化，Verinet和Crown（适用于案件的时）更严格的输出界限。

我们提出了一种新的方法，可以通过具有relu，sigmoid或双曲线切线激活功能的神经网络有效地计算图像的紧密非凸面。特别是，我们通过多项式近似来抽象每个神经元的输入输出关系，该近似是使用多项式界定的基于设定的方式进行评估的。我们提出的方法特别适合于对神经网络控制系统的可及性分析，因为多项式地位型能够捕获两者中的非共鸣性，通过神经网络以及可触及的集合。与各种基准系统上的其他最新方法相比，我们证明了方法的卓越性能。

深度神经网络的鲁棒性对于现代AI支持系统至关重要，应正式验证。在广泛的应用中采用了类似乙状结肠的神经网络。由于它们的非线性，通常会过度评估乙状结肠样激活功能，以进行有效的验证，这不可避免地引入了不精确度。已大量的努力致力于找到所谓的更紧密的近似值，以获得更精确的验证结果。但是，现有的紧密定义是启发式的，缺乏理论基础。我们对现有神经元的紧密表征进行了彻底的经验分析，并揭示它们仅在特定的神经网络上是优越的。然后，我们将网络紧密度的概念介绍为统一的紧密度定义，并表明计算网络紧密度是一个复杂的非convex优化问题。我们通过两个有效的，最紧密的近似值从不同的角度绕过复杂性。结果表明，我们在艺术状态下的方法实现了有希望的表现：（i）达到高达251.28％的改善，以提高认证的较低鲁棒性界限； （ii）在卷积网络上表现出更为精确的验证结果。

While deep neural networks (DNNs) have demonstrated impressive performance in solving many challenging tasks, they are limited to resource-constrained devices owing to their demand for computation power and storage space. Quantization is one of the most promising techniques to address this issue by quantizing the weights and/or activation tensors of a DNN into lower bit-width fixed-point numbers. While quantization has been empirically shown to introduce minor accuracy loss, it lacks formal guarantees on that, especially when the resulting quantized neural networks (QNNs) are deployed in safety-critical applications. A majority of existing verification methods focus exclusively on individual neural networks, either DNNs or QNNs. While promising attempts have been made to verify the quantization error bound between DNNs and their quantized counterparts, they are not complete and more importantly do not support fully quantified neural networks, namely, only weights are quantized. To fill this gap, in this work, we propose a quantization error bound verification method (QEBVerif), where both weights and activation tensors are quantized. QEBVerif consists of two analyses: a differential reachability analysis (DRA) and a mixed-integer linear programming (MILP) based verification method. DRA performs difference analysis between the DNN and its quantized counterpart layer-by-layer to efficiently compute a tight quantization error interval. If it fails to prove the error bound, then we encode the verification problem into an equivalent MILP problem which can be solved by off-the-shelf solvers. Thus, QEBVerif is sound, complete, and arguably efficient. We implement QEBVerif in a tool and conduct extensive experiments, showing its effectiveness and efficiency.

随着深度学习在关键任务系统中的越来越多的应用，越来越需要对神经网络的行为进行正式保证。确实，最近提出了许多用于验证神经网络的方法，但是这些方法通常以有限的可伸缩性或不足的精度而挣扎。许多最先进的验证方案中的关键组成部分是在网络中可以为特定输入域获得的神经元获得的值计算下限和上限 - 并且这些界限更紧密，验证的可能性越大，验证的可能性就越大。成功。计算这些边界的许多常见算法是符号结合传播方法的变化。其中，利用一种称为后替代的过程的方法特别成功。在本文中，我们提出了一种使背部替代产生更严格的界限的方法。为了实现这一目标，我们制定并最大程度地减少背部固定过程中发生的不精确错误。我们的技术是一般的，从某种意义上说，它可以将其集成到许多现有的符号结合的传播技术中，并且只有较小的修改。我们将方法作为概念验证工具实施，并且与执行背部替代的最先进的验证者相比，取得了有利的结果。

在过去的几年中，连续的深度学习模型（称为神经普通微分方程（神经odes））受到了广泛关注。尽管它们迅速产生影响，但对于这些系统缺乏正式的分析技术。在本文中，我们考虑了具有不同架构和层次的一般神经odes类，并引入了一种新颖的可及性框架，可以对其行为进行正式分析。为神经ODE的可及性分析而开发的方法是在称为NNVODE的新工具中实现的。具体而言，我们的工作扩展了现有的神经网络验证工具以支持神经ODE。我们通过分析包括用于分类的神经ODE的一组基准以及控制和动态系统的一组基准来证明我们方法的功能和功效，包括评估我们方法对我们方法在现有软件工具中的功效和能力的评估。如果可以这样做，则连续的时间系统可达性文献。

多项式扩张对于神经网络非线性的分析很重要。他们已应用于验证，解释性和安全性的众所周知的困难。现有方法跨度古典泰勒和切苯齐夫方法，渐近学和许多数值方法。我们发现，虽然这些单独具有有用的属性，如确切的错误公式，可调域和鲁棒性对未定义的衍生物，但没有提供一致方法，其具有所有这些属性的扩展。为解决此问题，我们开发了一个分析修改的积分变换扩展（AMITE），通过使用派生标准进行修改的整体变换的新型扩展。我们展示了一般的扩展，然后展示了两个流行的激活功能，双曲线切线和整流线性单位的应用。与本端使用的现有扩展（即Chebyshev，Taylor和Numerical）相比，Amite是第一个提供六个以前相互排斥的膨胀性能，例如系数的精确公式和精确的膨胀误差（表II）。我们展示了两种案例研究中Amite的有效性。首先，多变量多项式形式从单个隐藏层黑盒子多层Perceptron（MLP）有效地提取，以促进从嘈杂的刺激响应对的等效测试。其次，在3到7层之间的各种前馈神经网络（FFNN）架构是使用由Amite多项式和误差公式改善的泰勒模型的范围。 Amite呈现了一种新的扩展方法维度，适用于神经网络中的非线性的分析/近似，打开新的方向和机会，了解神经网络的理论分析和系统测试。

我们提出了Polar，A \ textbf {pol} ynomial \ textbf {ar} iThmetic框架，该框架利用多项式过度应用与间隔剩余的剩余，以进行界限时间到达的到达时间到达，对神经网络控制系统（NNCSS）的界限到达。与使用标准泰勒模型的现有算术方法相比，我们的框架使用一种新颖的方法来迭代过度陈化神经元的输出范围逐层范围均与伯恩斯坦多项式插值的组合，用于连续激活功能和其他操作的泰勒模型。这种方法可以克服标准泰勒模型算术中的主要缺点，即无法处理泰勒多项式无法很好地近似的功能，并显着提高了NNCS的可及状态计算的准确性和效率。为了进一步拧紧过度应用，我们的方法在估计神经网络的输出范围时，将泰勒模型保持在线性映射下的象征性。我们表明，极性可以与现有的泰勒模型流管构造技术无缝集成，并证明极性在一组基准测试套件上明显优于当前最新技术。

Neural networks are increasingly applied in safety critical domains, their verification thus is gaining importance. A large class of recent algorithms for proving input-output relations of feed-forward neural networks are based on linear relaxations and symbolic interval propagation. However, due to variable dependencies, the approximations deteriorate with increasing depth of the network. In this paper we present DPNeurifyFV, a novel branch-and-bound solver for ReLU networks with low dimensional input-space that is based on symbolic interval propagation with fresh variables and input-splitting. A new heuristic for choosing the fresh variables allows to ameliorate the dependency problem, while our novel splitting heuristic, in combination with several other improvements, speeds up the branch-and-bound procedure. We evaluate our approach on the airborne collision avoidance networks ACAS Xu and demonstrate runtime improvements compared to state-of-the-art tools.

本文提出了一种验证网络物理安全 - 关键系统中发现的非线性人工神经网络（ANN）行为的方法。我们将Sigmoid函数的专用间隔约束传播器实施到SMT求解器ISAT中，并将这种方法与组成方法进行比较，该方法通过ISAT中可用的基本算术特征和近似方法来编码Sigmoid函数。我们的实验结果表明，专用和组成方法明显优于近似方法。在我们所有的基准中，专门的方法与组成方法相比表现出相等或更好的性能。

神经网络已广泛应用于垃圾邮件和网络钓鱼检测，入侵预防和恶意软件检测等安全应用程序。但是，这种黑盒方法通常在应用中具有不确定性和不良的解释性。此外，神经网络本身通常容易受到对抗攻击的影响。由于这些原因，人们对可信赖和严格的方法有很高的需求来验证神经网络模型的鲁棒性。对抗性的鲁棒性在处理恶意操纵输入时涉及神经网络的可靠性，是安全和机器学习中最热门的主题之一。在这项工作中，我们在神经网络的对抗性鲁棒性验证中调查了现有文献，并在机器学习，安全和软件工程领域收集了39项多元化研究工作。我们系统地分析了它们的方法，包括如何制定鲁棒性，使用哪种验证技术以及每种技术的优势和局限性。我们从正式验证的角度提供分类学，以全面理解该主题。我们根据财产规范，减少问题和推理策略对现有技术进行分类。我们还展示了使用样本模型在现有研究中应用的代表性技术。最后，我们讨论了未来研究的开放问题。

我们提出了一个框架，用于稳定验证混合智能线性编程（MILP）代表控制策略。该框架比较了固定的候选策略，该策略承认有效的参数化，可以以低计算成本进行评估，与固定基线策略进行评估，固定基线策略已知稳定但评估昂贵。我们根据基线策略的最坏情况近似错误为候选策略的闭环稳定性提供了足够的条件，我们表明可以通过求解混合构成二次计划（MIQP）来检查这些条件。 。此外，我们证明可以通过求解MILP来计算候选策略的稳定区域的外部近似。所提出的框架足以容纳广泛的候选策略，包括Relu神经网络（NNS），参数二次程序的最佳解决方案图以及模型预测性控制（MPC）策略。我们还根据提议的框架在Python中提供了一个开源工具箱，该工具可以轻松验证自定义NN架构和MPC公式。我们在DC-DC电源转换器案例研究的背景下展示了框架的灵活性和可靠性，并研究了计算复杂性。

在智能手机和控制器系统中的爆炸性增长之后，在从集中数据朝向设备生成的数据中消除数据如何生成数据的加速偏移。作为响应，机器学习算法正在适于在本地运行，潜在的硬件有限，设备，以改善用户隐私，减少延迟并更节能。但是，我们对这些方向算法的表现方式和应培训的理解仍然相当有限。为了解决这个问题，介绍了一种方法来自动综合降低的神经网络（具有较少的神经元）近似近似较大的输入/输出映射。从凸的半定程序生成降低的神经网络的权重和偏差，该凸形半定程序产生相对于较大网络的最坏情况近似误差。获得该近似误差的最坏情况界限，并且该方法可以应用于各种神经网络架构。例如，如何区分所提出的方法来产生小型神经网络的现有方法。修剪是在训练成本函数中直接包含最坏情况近似误差，这应该增加鲁棒性。数值示例突出了所提出的方法的潜力。本文的重新实现目的是概括最近导致神经网络对其重量和偏差的鲁棒合成问题的鲁棒性分析。

我们提出了一个域理论框架，用于验证神经网络的鲁棒性分析。我们首先分析一般网络类别的全球鲁棒性。然后，利用Edalat的域理论L衍生物与Clarke的广义梯度相吻合的事实，我们扩展了攻击性不足的局部鲁棒性分析的框架。我们的框架是设计构造正确的算法的理想选择。我们通过开发经过验证的算法来估计前馈回归器常数来体现这一主张。我们证明了算法在可区分网络上以及一般位置relu网络的完整性。我们在有效给定域的框架内获得可计算结果。使用我们的域模型，可以统一分析可区分和非差异网络。我们使用任意推测间隔算术实施算法，并介绍一些实验的结果。我们的实现也得到了真正的验证，因为它也处理浮点错误。

作为神经网络（NNS）越来越多地引入安全关键域，在部署之前越来越需要在部署之前正式验证NNS。在这项工作中，我们专注于NN等效的正式验证问题，其旨在证明两个NNS（例如原件和压缩版本）显示等效行为。已经提出了两种方法：混合整数线性编程和间隔传播。虽然第一种方法缺乏可扩展性，但后者仅适用于结构性相似的NN，其重量变化很小。我们纸张的贡献有四个部分。首先，我们通过证明epsilon-andatience问题是突出的，我们表现出理论结果。其次，我们扩展了Tran等人。单个NN几何路径枚举算法以多个NN的设置。在第三步中，我们实现了扩展算法，用于等价验证，评估其实际使用所需的优化。最后，我们执行比较评估，显示我们的方法优于前一种最先进的现有技术，两者，用于等效验证以及反例查找。

在本文中，我们考虑了由整流的线性单元（RELU）两级晶格（TLL）神经网络（NN）控制器控制的线性时间不变（LTI）系统的可触时集合的计算复杂性。特别是，我们表明，对于这样的系统和控制器，可以按照TLL NN控制器的大小（神经元数）的大小计算多项式时间的确切一步设置。此外，我们表明可以通过两种多项式时间方法获得可触及设置的紧密边界框：一个在TLL的大小中具有多项式复杂性，另一个具有控制器和其他的Lipschitz常数中的多项式复杂性问题参数。至关重要的是，可以在多项式时间内确定两者中的较小，对于非脱位tll nns。最后，我们提出了一种务实的算法，该算法将（半）确切可及性和近似可达性的好处（我们称为L-tllbox）结合在一起。我们通过经验比较与最先进的NN控制器可及性工具一起评估L-Tllbox。在这些实验中，L-TLLBox能够在同一网络/系统上的该工具快5000倍，同时生产到区域面积的0.08至1.42倍的范围。

神经网络（NNS）已成功地用于代表复杂动力学系统的状态演变。这样的模型，称为NN动态模型（NNDMS），使用NN的迭代噪声预测来估计随时间推移系统轨迹的分布。尽管它们的准确性，但对NNDMS的安全分析仍然是一个具有挑战性的问题，并且在很大程度上尚未探索。为了解决这个问题，在本文中，我们介绍了一种为NNDM提供安全保证的方法。我们的方法基于随机屏障函数，其与安全性的关系类似于Lyapunov功能的稳定性。我们首先展示了通过凸优化问题合成NNDMS随机屏障函数的方法，该问题又为系统的安全概率提供了下限。我们方法中的一个关键步骤是，NNS的最新凸近似结果的利用是找到零件线性边界，这允许将屏障函数合成问题作为一个方形优化程序的制定。如果获得的安全概率高于所需的阈值，则该系统将获得认证。否则，我们引入了一种生成控制系统的方法，该系统以最小的侵入性方式稳健地最大化安全概率。我们利用屏障函数的凸属性来提出最佳控制合成问题作为线性程序。实验结果说明了该方法的功效。即，他们表明该方法可以扩展到具有多层和数百个神经元的多维NNDM，并且控制器可以显着提高安全性概率。

我们考虑了认证深神经网络对现实分布变化的鲁棒性的问题。为此，我们通过提出一个新型的神经符号验证框架来弥合手工制作的规格和现实部署设置之间的差距模型。这种环境引起的一个独特的挑战是，现有的验证者不能紧密地近似sigmoid激活，这对于许多最新的生成模型至关重要。为了应对这一挑战，我们提出了一个通用的元算象来处理乙状结肠激活，该乙状结激素利用反示例引导的抽象细化的经典概念。关键思想是“懒惰地”完善Sigmoid函数的抽象，以排除先前抽象中发现的虚假反示例，从而确保验证过程中的进展，同时保持状态空间较小。 MNIST和CIFAR-10数据集的实验表明，我们的框架在一系列具有挑战性的分配变化方面大大优于现有方法。

影响模型预测控制（MPC）策略的神经网络（NN）近似的常见问题是缺乏分析工具来评估基于NN的控制器的动作下闭环系统的稳定性。我们介绍了一种通用过程来量化这种控制器的性能，或者设计具有整流的线性单元（Relus）的最小复杂性NN，其保留给定MPC方案的理想性质。通过量化基于NN和基于MPC的状态到输入映射之间的近似误差，我们首先建立适当的条件，涉及两个关键量，最坏情况误差和嘴唇截止恒定，保证闭环系统的稳定性。然后，我们开发了一个离线，混合整数的基于优化的方法，以确切地计算这些数量。这些技术共同提供足以认证MPC控制法的基于Relu的近似的稳定性和性能的条件。

许多未来的技术依靠神经网络，但是验证其行为的正确性仍然是一个主要挑战。众所周知，在存在少量输入扰动的情况下，神经网络可能会脆弱，从而产生不可预测的输出。因此，神经网络的验证对于它们的采用至关重要，近年来已经提出了许多方法。在本文中，我们重点介绍基于半神经网络验证的基于半决赛的技术（SDP）技术，这特别有吸引力，因为它们可以在确保多项式时间决策的同时编码表达行为。我们的起点是Fazlyab等人提出的DEEPSDP框架，该框架使用二次约束将验证问题抽象为大规模的SDP。但是，当神经网络的大小增长时，解决此SDP的求解很快就变得棘手了。我们的主要观察结果是，通过利用弦宽度和DeepSDP的特定参数化，我们可以将DeepSDP的主要计算瓶颈（一种大的线性基质不等式（LMI））分解为等效的较小LMI的集合。我们的参数化允许可调参数，从而使我们能够在验证过程中权衡效率和准确性。我们称我们的配方和弦 - 深色，并提供实验评估，以表明它可以：（1）有效提高可调参数的精度，（2）（2）在更深层网络上的表现优于deepSDP。