在明确机器学习 (machine learning)模型可能存在弱点,且攻击者具有不同目标和能力后,我们来对对抗样本 这一核心思想进行形式化定义。对抗样本本质上是一种经过精心制作的输入,它看起来几乎与合法输入相同,但却能使模型产生错误的输出。
设有一个机器学习模型,用函数 f f f x \boldsymbol{x} x y y y y = f ( x ) y = f(\boldsymbol{x}) y = f ( x ) x \boldsymbol{x} x
一个无目标对抗样本 x ′ \boldsymbol{x}' x ′
误分类: 模型对 x ′ \boldsymbol{x}' x ′ f ( x ′ ) ≠ y f(\boldsymbol{x}') \neq y f ( x ′ ) = y 接近性: 修改后的输入 x ′ \boldsymbol{x}' x ′ x \boldsymbol{x} x
在目标攻击中,目标更具体:使模型输出特定的错误标签 y t a r g e t y_{target} y t a r g e t y t a r g e t ≠ y y_{target} \neq y y t a r g e t = y
f ( x ′ ) = y t a r g e t f(\boldsymbol{x}') = y_{target} f ( x ′ ) = y t a r g e t 定义扰动
原始输入与对抗样本之间的差异是扰动 ,表示为 δ \boldsymbol{\delta} δ
δ = x ′ − x \boldsymbol{\delta} = \boldsymbol{x}' - \boldsymbol{x} δ = x ′ − x 因此,我们可以将对抗样本写为 x ′ = x + δ \boldsymbol{x}' = \boldsymbol{x} + \boldsymbol{\delta} x ′ = x + δ δ \boldsymbol{\delta} δ
度量扰动大小:L p L_p L p
我们如何从数学上量化 (quantization)“小”?对抗机器学习 (machine learning)中的标准方法是使用 L p L_p L p δ \boldsymbol{\delta} δ
设 δ \boldsymbol{\delta} δ d d d d d d
L ∞ L_\infty L ∞
∥ δ ∥ ∞ = max i = 1 , … , d ∣ δ i ∣ \|\boldsymbol{\delta}\|_\infty = \max_{i=1, \dots, d} |\delta_i| ∥ δ ∥ ∞ = i = 1 , … , d max ∣ δ i ∣ 一个 L ∞ L_\infty L ∞ ∥ δ ∥ ∞ ≤ ϵ \|\boldsymbol{\delta}\|_\infty \le \epsilon ∥ δ ∥ ∞ ≤ ϵ ϵ \epsilon ϵ [ 0 , 1 ] [0, 1] [ 0 , 1 ] ϵ \epsilon ϵ 8 / 255 8/255 8/255
L 2 L_2 L 2 x \boldsymbol{x} x x ′ \boldsymbol{x}' x ′
∥ δ ∥ 2 = ∑ i = 1 d δ i 2 \|\boldsymbol{\delta}\|_2 = \sqrt{\sum_{i=1}^{d} \delta_i^2} ∥ δ ∥ 2 = i = 1 ∑ d δ i 2 一个 L 2 L_2 L 2 ∥ δ ∥ 2 ≤ ϵ \|\boldsymbol{\delta}\|_2 \le \epsilon ∥ δ ∥ 2 ≤ ϵ
L 1 L_1 L 1
∥ δ ∥ 1 = ∑ i = 1 d ∣ δ i ∣ \|\boldsymbol{\delta}\|_1 = \sum_{i=1}^{d} |\delta_i| ∥ δ ∥ 1 = i = 1 ∑ d ∣ δ i ∣ 一个 L 1 L_1 L 1 ∥ δ ∥ 1 ≤ ϵ \|\boldsymbol{\delta}\|_1 \le \epsilon ∥ δ ∥ 1 ≤ ϵ
L 0 L_0 L 0 δ \boldsymbol{\delta} δ
∥ δ ∥ 0 = ∑ i = 1 d I ( δ i ≠ 0 ) \|\boldsymbol{\delta}\|_0 = \sum_{i=1}^{d} \mathbb{I}(\delta_i \neq 0) ∥ δ ∥ 0 = i = 1 ∑ d I ( δ i = 0 ) 其中 I ( ⋅ ) \mathbb{I}(\cdot) I ( ⋅ ) L 0 L_0 L 0 ∥ δ ∥ 0 ≤ k \|\boldsymbol{\delta}\|_0 \le k ∥ δ ∥ 0 ≤ k k k k
L p L_p L p ϵ \epsilon ϵ L 0 L_0 L 0 k k k
作为优化问题的对抗样本生成
找到对抗样本通常可以被视为一个优化问题。有两种常见表述:
最小化扰动: 寻找能导致误分类的最小扰动 δ \boldsymbol{\delta} δ L p L_p L p
min δ ∥ δ ∥ p 使得 f ( x + δ ) ≠ y \min_{\boldsymbol{\delta}} \|\boldsymbol{\delta}\|_p \quad \text{使得} \quad f(\boldsymbol{x} + \boldsymbol{\delta}) \neq y δ min ∥ δ ∥ p 使得 f ( x + δ ) = y 我们通常还需要确保生成的 x ′ = x + δ \boldsymbol{x}' = \boldsymbol{x} + \boldsymbol{\delta} x ′ = x + δ [ 0 , 1 ] [0, 1] [ 0 , 1 ]
最大化损失(在预算内): 寻找扰动 δ \boldsymbol{\delta} δ ϵ \epsilon ϵ
max δ 满足 ∥ δ ∥ p ≤ ϵ L ( f ( x + δ ) , y ) \max_{\boldsymbol{\delta} \text{ 满足 } \|\boldsymbol{\delta}\|_p \le \epsilon} \mathcal{L}(f(\boldsymbol{x} + \boldsymbol{\delta}), y) δ 满足 ∥ δ ∥ p ≤ ϵ max L ( f ( x + δ ) , y ) 这里,L \mathcal{L} L f ( x + δ ) f(\boldsymbol{x} + \boldsymbol{\delta}) f ( x + δ ) y y y y t a r g e t y_{target} y t a r g e t
几何视角
设想输入所处的高维空间 (high-dimensional space)。模型 f f f x \boldsymbol{x} x y y y x ′ \boldsymbol{x}' x ′ x \boldsymbol{x} x ϵ \epsilon ϵ L p L_p L p y ′ y' y ′
对抗样本的示意图。原始输入 x \boldsymbol{x} x δ \boldsymbol{\delta} δ x ′ \boldsymbol{x}' x ′ L p L_p L p ∥ δ ∥ p ≤ ϵ \|\boldsymbol{\delta}\|_p \le \epsilon ∥ δ ∥ p ≤ ϵ
这种数学框架使我们能够精确定义对抗样本及其生成所受的约束。它为开发特定攻击算法(例如基于梯度或优化的算法)以及设计和评估防御方法奠定了基础,这些是后续章节的主题。理解这种表述对于分析机器学习 (machine learning)模型的安全属性非常重要。
