这项工作探讨了随机竞争的激活效力，即随机本地获奖者 - 所有（LWTA），反对强大的（梯度）的白盒和黑匣子对抗攻击;我们特别关注对抗性训练环境。在我们的工作中，我们用包括当地和随机竞争的线性单元的块替换基于常规的基于Relu的非线性。每个网络层的输出现在产生稀疏输出，具体取决于每个块中的获胜者采样的结果。我们依靠变分的贝叶斯框架进行培训和推理;我们纳入了常规的基于PGD的对抗的对抗性培训论证，以增加整体对抗性鲁棒性。正如我们在实验表明，所产生的网络产生最先进的稳健性，这对于强大的对抗性攻击，同时保留了良性案例中的非常高的分类率。

这项工作旨在解决学习多元化陈述的长期问题。为此，我们将信息理论论点与随机竞争的激活，即随机本地获奖者 - 所有（LWTA）单位结合起来。在这种情况下，我们致力于表示学习的传统深层架构，依赖于非线性激活;相反，我们用本地和随机竞争的线性单位组替换它们。在此设置中，每个网络层产生稀疏输出，由组织成竞争对手块之间的竞争的结果确定。我们采用竞争机制的随机论据，执行后部采样以确定每个块的获胜者。我们进一步赋予考虑的网络能够推断网络的子部分，这对于在手头上建模数据至关重要;我们将适当的粘性前锋施加到此目的。为了进一步丰富新兴陈述的信息，我们求助于信息 - 理论原则，即信息竞争过程（ICP）。然后，所有组件在随机变分贝叶斯框架下捆绑在一起进行推理。我们对我们的方法进行了彻底的实验研究，使用基准数据集进行了图像分类。正如我们在实验表明的那样，所产生的网络产生了显着的歧视性学习能力。此外，介绍的范例允许新出现的中间网络表示的原则调查机制。

这项工作通过考虑具有随机局部获奖者（LWTA）激活的深层网络来解决元学习（ML）。这种类型的网络单元导致每个模型层的稀疏表示形式，因为单元被组织成仅一个单元生成非零输出的块。引入单元的主要操作原理依赖于随机原理，因为网络对竞争单位进行后验采样以选择获胜者。因此，与当前标准的确定性表示范式相反，提出的网络是明确设计的，以提取稀疏随机性的输入数据表示。我们的方法在几乎没有图像分类和回归实验上产生了最新的预测精度，并在主动学习设置上降低了预测误差；这些改进的计算成本大大降低。

对抗性例子的现象说明了深神经网络最基本的漏洞之一。在推出这一固有的弱点的各种技术中，对抗性训练已成为学习健壮模型的最有效策略。通常，这是通过平衡强大和自然目标来实现的。在这项工作中，我们旨在通过执行域不变的功能表示，进一步优化鲁棒和标准准确性之间的权衡。我们提出了一种新的对抗训练方法，域不变的对手学习（DIAL），该方法学习了一个既健壮又不变的功能表示形式。拨盘使用自然域及其相应的对抗域上的域对抗神经网络（DANN）的变体。在源域由自然示例组成和目标域组成的情况下，是对抗性扰动的示例，我们的方法学习了一个被限制的特征表示，以免区分自然和对抗性示例，因此可以实现更强大的表示。拨盘是一种通用和模块化技术，可以轻松地将其纳入任何对抗训练方法中。我们的实验表明，将拨号纳入对抗训练过程中可以提高鲁棒性和标准精度。

对抗训练（AT）在防御对抗例子方面表现出色。最近的研究表明，示例对于AT期间模型的最终鲁棒性并不同样重要，即，所谓的硬示例可以攻击容易表现出比对最终鲁棒性的鲁棒示例更大的影响。因此，保证硬示例的鲁棒性对于改善模型的最终鲁棒性至关重要。但是，定义有效的启发式方法来寻找辛苦示例仍然很困难。在本文中，受到信息瓶颈（IB）原则的启发，我们发现了一个具有高度共同信息及其相关的潜在表示的例子，更有可能受到攻击。基于此观察，我们提出了一种新颖有效的对抗训练方法（Infoat）。鼓励Infoat找到具有高相互信息的示例，并有效利用它们以提高模型的最终鲁棒性。实验结果表明，与几种最先进的方法相比，Infoat在不同数据集和模型之间达到了最佳的鲁棒性。

Adversarial attacks to image classification systems present challenges to convolutional networks and opportunities for understanding them. This study suggests that adversarial perturbations on images lead to noise in the features constructed by these networks. Motivated by this observation, we develop new network architectures that increase adversarial robustness by performing feature denoising. Specifically, our networks contain blocks that denoise the features using non-local means or other filters; the entire networks are trained end-to-end. When combined with adversarial training, our feature denoising networks substantially improve the state-of-the-art in adversarial robustness in both white-box and black-box attack settings. On ImageNet, under 10-iteration PGD white-box attacks where prior art has 27.9% accuracy, our method achieves 55.7%; even under extreme 2000-iteration PGD white-box attacks, our method secures 42.6% accuracy. Our method was ranked first in Competition on Adversarial Attacks and Defenses (CAAD) 2018 -it achieved 50.6% classification accuracy on a secret, ImageNet-like test dataset against 48 unknown attackers, surpassing the runner-up approach by ∼10%. Code is available at https://github.com/facebookresearch/ ImageNet-Adversarial-Training.

The field of defense strategies against adversarial attacks has significantly grown over the last years, but progress is hampered as the evaluation of adversarial defenses is often insufficient and thus gives a wrong impression of robustness. Many promising defenses could be broken later on, making it difficult to identify the state-of-the-art. Frequent pitfalls in the evaluation are improper tuning of hyperparameters of the attacks, gradient obfuscation or masking. In this paper we first propose two extensions of the PGD-attack overcoming failures due to suboptimal step size and problems of the objective function. We then combine our novel attacks with two complementary existing ones to form a parameter-free, computationally affordable and user-independent ensemble of attacks to test adversarial robustness. We apply our ensemble to over 50 models from papers published at recent top machine learning and computer vision venues. In all except one of the cases we achieve lower robust test accuracy than reported in these papers, often by more than 10%, identifying several broken defenses.

为了应对对抗性实例的威胁，对抗性培训提供了一种有吸引力的选择，可以通过在线增强的对抗示例中的培训模型提高模型稳健性。然而，大多数现有的对抗训练方法通过强化对抗性示例来侧重于提高鲁棒的准确性，但忽略了天然数据和对抗性实施例之间的增加，导致自然精度急剧下降。为了维持自然和强大的准确性之间的权衡，我们从特征适应的角度缓解了转变，并提出了一种特征自适应对抗训练（FAAT），这些培训（FAAT）跨越自然数据和对抗示例优化类条件特征适应。具体而言，我们建议纳入一类条件鉴别者，以鼓励特征成为（1）类鉴别的和（2）不变导致对抗性攻击的变化。新型的FAAT框架通过在天然和对抗数据中产生具有类似分布的特征来实现自然和强大的准确性之间的权衡，并实现从类鉴别特征特征中受益的更高的整体鲁棒性。在各种数据集上的实验表明，FAAT产生更多辨别特征，并对最先进的方法表现有利。代码在https://github.com/visionflow/faat中获得。

我们表明，当考虑到图像域$ [0,1] ^ D $时，已建立$ L_1 $ -Projected梯度下降（PGD）攻击是次优，因为它们不认为有效的威胁模型是交叉点$ l_1 $ -ball和$ [0,1] ^ d $。我们研究了这种有效威胁模型的最陡渐进步骤的预期稀疏性，并表明该组上的确切投影是计算可行的，并且产生更好的性能。此外，我们提出了一种自适应形式的PGD，即使具有小的迭代预算，这也是非常有效的。我们的结果$ l_1 $ -apgd是一个强大的白盒攻击，表明先前的作品高估了他们的$ l_1 $ -trobustness。使用$ l_1 $ -apgd for vercersarial培训，我们获得一个强大的分类器，具有sota $ l_1 $ -trobustness。最后，我们将$ l_1 $ -apgd和平方攻击的适应组合到$ l_1 $ to $ l_1 $ -autoattack，这是一个攻击的集合，可靠地评估$ l_1 $ -ball与$的威胁模型的对抗鲁棒性进行对抗[ 0,1] ^ d $。

已证明深度神经网络容易受到对抗噪声的影响，从而促进了针对对抗攻击的防御。受到对抗噪声包含良好的特征的动机，并且对抗数据和自然数据之间的关系可以帮助推断自然数据并做出可靠的预测，在本文中，我们研究通过学习对抗性标签之间的过渡关系来建模对抗性噪声（即用于生成对抗数据的翻转标签）和天然标签（即自然数据的地面真实标签）。具体而言，我们引入了一个依赖实例的过渡矩阵来关联对抗标签和天然标签，可以将其无缝嵌入目标模型（使我们能够建模更强的自适应对手噪声）。经验评估表明，我们的方法可以有效提高对抗性的准确性。

我们从频道明智激活的角度调查CNN的对抗性鲁棒性。通过比较\ Textit {非鲁棒}（通常训练）和\ exingit {REXITIT {REARUSTIFIED}（普及培训的）模型，我们观察到对抗性培训（AT）通过将频道明智的数据与自然的渠道和自然的对抗激活对齐来强调CNN同行。然而，在处理逆势数据时仍仍会过度激活以\ texit {excy-computive}（nr）的频道仍会过度激活。此外，我们还观察到，在所有课程上不会导致类似的稳健性。对于强大的类，具有较大激活大小的频道通常是更长的\ extedit {正相关}（pr）到预测，但这种对齐不适用于非鲁棒类。鉴于这些观察结果，我们假设抑制NR通道并对齐PR与其相关性进一步增强了在其下的CNN的鲁棒性。为了检查这个假设，我们介绍了一种新的机制，即\下划线{C} Hannel-Wise \ Underline {i} Mportance的\下划线{F} eature \ Underline {s}选举（CIFS）。 CIFS通过基于与预测的相关性产生非负乘法器来操纵某些层的激活。在包括CIFAR10和SVHN的基准数据集上的广泛实验明确验证了强制性CNN的假设和CIFS的有效性。 \ url {https://github.com/hanshuyan/cifs}

本文调查了一种捍卫对抗性攻击的方法家族，其成功的部分原因是创造了嘈杂，不连续或不足的损失景观，而对手很难驾驶。实现这种效果的一种常见但不是普遍的方法是使用随机神经网络。我们表明，这是梯度混淆的一种形式，并根据Weierstrass变换提出了对基于梯度的对手的一般扩展，该变换平滑了损失函数的表面并提供了更可靠的梯度估计。我们进一步表明，相同的原则可以增强无梯度的对手。我们证明了消失方法对由于这种混淆而表现出鲁棒性的随机和非传统对抗防御的功效。此外，我们将分析它与对转型的期望相互作用。目前用于攻击随机防御的流行梯度采样方法。

Designing powerful adversarial attacks is of paramount importance for the evaluation of $\ell_p$-bounded adversarial defenses. Projected Gradient Descent (PGD) is one of the most effective and conceptually simple algorithms to generate such adversaries. The search space of PGD is dictated by the steepest ascent directions of an objective. Despite the plethora of objective function choices, there is no universally superior option and robustness overestimation may arise from ill-suited objective selection. Driven by this observation, we postulate that the combination of different objectives through a simple loss alternating scheme renders PGD more robust towards design choices. We experimentally verify this assertion on a synthetic-data example and by evaluating our proposed method across 25 different $\ell_{\infty}$-robust models and 3 datasets. The performance improvement is consistent, when compared to the single loss counterparts. In the CIFAR-10 dataset, our strongest adversarial attack outperforms all of the white-box components of AutoAttack (AA) ensemble, as well as the most powerful attacks existing on the literature, achieving state-of-the-art results in the computational budget of our study ($T=100$, no restarts).

Adaptive attacks have (rightfully) become the de facto standard for evaluating defenses to adversarial examples. We find, however, that typical adaptive evaluations are incomplete. We demonstrate that thirteen defenses recently published at ICLR, ICML and NeurIPS-and which illustrate a diverse set of defense strategies-can be circumvented despite attempting to perform evaluations using adaptive attacks. While prior evaluation papers focused mainly on the end result-showing that a defense was ineffective-this paper focuses on laying out the methodology and the approach necessary to perform an adaptive attack. Some of our attack strategies are generalizable, but no single strategy would have been sufficient for all defenses. This underlines our key message that adaptive attacks cannot be automated and always require careful and appropriate tuning to a given defense. We hope that these analyses will serve as guidance on how to properly perform adaptive attacks against defenses to adversarial examples, and thus will allow the community to make further progress in building more robust models.

与传统的神经网络（TNN）不同，贝叶斯神经网络（BNNS）是通过掺入随机性来处理对抗性攻击的鲁棒和熟练。这种随机性提高了不确定性的估计，在TNN中缺乏特征。因此，我们研究了BNNS与使用多个贝叶斯神经架构的白盒攻击的鲁棒性。此外，我们通过将这种干预与对抗训练结合起来，通过将贝叶斯推动（即变分别贝叶斯）融合到DENSenet架构和BDAV来创建我们的BNN-DenSenet。实验在CiFar-10和FGVC飞机数据集上进行。我们用强大的白盒攻击攻击模型（$ l_ \ infty $ -fgsm，$ l_ \ infty $ -pgd，$ l_2 $ -pgd，eot $ l_ \ idty $ -fgsm，和eot $ l_ \ infty $ - PGD​​）。在所有实验中，至少一个BNN在对抗性攻击场景期间优于传统的神经网络。在大多数实验中，普遍训练的BNN优于非贝叶斯，过性训练的对应物，通常由显着的边缘。最后，我们调查网络校准并发现BNN没有过度自信预测，提供证据，即BNN在测量不确定性时也更好。

对抗性的鲁棒性已经成为深度学习的核心目标，无论是在理论和实践中。然而，成功的方法来改善对抗的鲁棒性（如逆势训练）在不受干扰的数据上大大伤害了泛化性能。这可能会对对抗性鲁棒性如何影响现实世界系统的影响（即，如果它可以提高未受干扰的数据的准确性），许多人可能选择放弃鲁棒性）。我们提出内插对抗培训，该培训最近雇用了在对抗培训框架内基于插值的基于插值的培训方法。在CiFar -10上，对抗性训练增加了标准测试错误（当没有对手时）从4.43％到12.32％，而我们的内插对抗培训我们保留了对抗性的鲁棒性，同时实现了仅6.45％的标准测试误差。通过我们的技术，强大模型标准误差的相对增加从178.1％降至仅为45.5％。此外，我们提供内插对抗性培训的数学分析，以确认其效率，并在鲁棒性和泛化方面展示其优势。

由于在量化网络上的按位操作产生的有效存储器消耗和更快的计算，神经网络量化已经变得越来越受欢迎。尽管它们表现出优异的泛化能力，但其鲁棒性属性并不是很好地理解。在这项工作中，我们系统地研究量化网络对基于梯度的对抗性攻击的鲁棒性，并证明这些量化模型遭受梯度消失问题并显示出虚假的鲁棒感。通过归因于培训的网络中的渐变消失到较差的前后信号传播，我们引入了一个简单的温度缩放方法来缓解此问题，同时保留决策边界。尽管对基于梯度的对抗攻击进行了简单的修改，但具有多个网络架构的多个图像分类数据集的实验表明，我们的温度缩放攻击在量化网络上获得了近乎完美的成功率，同时表现出对普遍培训的模型以及浮动的原始攻击以及浮动 - 点网络。代码可在https://github.com/kartikgupta-at-anu/Attack-bnn获得。

在过去的几年中，卷积神经网络（CNN）一直是广泛的计算机视觉任务中的主导神经架构。从图像和信号处理的角度来看，这一成功可能会令人惊讶，因为大多数CNN的固有空间金字塔设计显然违反了基本的信号处理法，即在其下采样操作中对定理进行采样。但是，由于不良的采样似乎不影响模型的准确性，因此在模型鲁棒性开始受到更多关注之前，该问题已被广泛忽略。最近的工作[17]在对抗性攻击和分布变化的背景下，毕竟表明，CNN的脆弱性与不良下降采样操作引起的混叠伪像之间存在很强的相关性。本文以这些发现为基础，并引入了一个可混合的免费下采样操作，可以轻松地插入任何CNN体系结构：频lowcut池。我们的实验表明，结合简单而快速的FGSM对抗训练，我们的超参数无操作员显着提高了模型的鲁棒性，并避免了灾难性的过度拟合。

已知深神经网络（DNN）容易受到对抗性攻击的影响。已经提出了一系列防御方法来培训普遍稳健的DNN，其中对抗性培训已经证明了有希望的结果。然而，尽管对对抗性培训开发的初步理解，但从架构角度来看，它仍然不明确，从架构角度来看，什么配置可以导致更强大的DNN。在本文中，我们通过全面调查网络宽度和深度对前对方培训的DNN的鲁棒性的全面调查来解决这一差距。具体地，我们进行以下关键观察：1）更多参数（更高的模型容量）不一定有助于对抗冒险; 2）网络的最后阶段（最后一组块）降低能力实际上可以改善对抗性的鲁棒性; 3）在相同的参数预算下，存在对抗性鲁棒性的最佳架构配置。我们还提供了一个理论分析，解释了为什么这种网络配置可以帮助鲁棒性。这些架构见解可以帮助设计对抗的强制性DNN。代码可用于\ url {https://github.com/hanxunh/robustwrn}。

对抗性训练（AT）捍卫深层神经网络免受对抗攻击。限制其实际应用的一个挑战是对干净样品的性能降解。以前的作品确定的主要瓶颈是广泛使用的批准化（BN），它努力为AT中的清洁和对抗训练样本的不同统计数据建模。尽管主要的方法是扩展BN以捕获这种分布的混合物，但我们建议通过去除AT中的所有BN层来完全消除这种瓶颈。我们的无标准器稳健训练（NOFROST）方法将无标准器网络的最新进展扩展到了AT，因为它在处理混合分配挑战方面未开发优势。我们表明，Nofrost在干净的样品准确性上只有轻微的牺牲才能实现对抗性的鲁棒性。在具有RESNET50的Imagenet上，Nofrost可实现$ 74.06 \％$清洁精度，从标准培训中降低了$ 2.00 \％$。相比之下，基于BN的基于BN的$ 59.28 \％$清洁准确性，从标准培训中获得了$ 16.78 \％$的大幅下降。此外，Nofrost在PGD Attack上达到了23.56美元的$ 23.56 \％$的对抗性，这提高了基于BN AT的13.57美元\％$ $鲁棒性。我们观察到更好的模型平滑度和来自Nofrost的较大决策边缘，这使得模型对输入扰动的敏感程度降低，从而更加健壮。此外，当将更多的数据增强纳入NOFROST时，它可以针对多个分配变化实现全面的鲁棒性。代码和预训练的模型在https://github.com/amazon-research/normalizer-free-robust-training上公开。