Key points are not available for this paper at this time.
हाल के कार्यों ने विपरीत हमलों पर यह दिखाया है कि प्रोजेक्टेड ग्रेडियन्ट डिसेंट (PGD) प्रतिकारी एक सार्वभौमिक पहले-आर्डर प्रतिकारी है, और PGD द्वारा विपरीत रूप से प्रशिक्षित वर्गीकर्ता कई पहले-आर्डर हमलों के खिलाफ robust है। यह ध्यान देने योग्य है कि एक हमले/रक्षा मॉडल का मूल उद्देश्य डेटा वितरण p(x) पर निर्भर करता है, आमतौर पर जोखिम अधिकतमकरण/न्यूनकरण के रूप में, जैसे, max/min Ep(x) L(x) जिसमें p(x) कुछ अज्ञात डेटा वितरण है और L(·) एक हानि फ़ंक्शन है। हालाँकि, चूंकि PGD L(·) के आधार पर प्रत्येक डेटा नमूने के लिए स्वतंत्र रूप से हमले के नमूने उत्पन्न करता है, यह प्रक्रिया जोखिम अनुकूलन के मामले में अच्छे सामान्यीकरण की आवश्यकता नहीं देती है। इस पेपर में, हम वितरणात्मक विपरीत हमले (DAA) का प्रस्ताव करके इस लक्ष्य को प्राप्त करते हैं, जो एक इष्टतम प्रतिकारी-डेटा वितरण, एक विकृत वितरण को हल करने के लिए एक ढांचा है जो L∞ प्रतिबंध को संतुष्ट करता है लेकिन सामान्यीकरण जोखिम को अधिकतम रूप से बढ़ाने के लिए मूल डेटा वितरण से भटकता है। एल्गोरिदमिक रूप से, DAA संभावित डेटा वितरण के अंतरिक्ष पर अनुकूलन करता है, जो प्रतिकारी नमूनों को उत्पन्न करते समय सभी डेटा बिंदुओं के बीच सीधा निर्भरता प्रस्तुत करता है। DAA को राज्य-के-कलीन रक्षा मॉडलों पर हमले करके मूल्यांकित किया गया है, जिसमें MIT MadryLab द्वारा प्रदान किए गए विपरीत-प्रशिक्षित मॉडल शामिल हैं। विशेष रूप से, DAA MadryLab की व्हाइट-बॉक्स लीडरबोर्ड पर पहले स्थान पर है, उनके गुप्त MNIST मॉडल की सटीकता को 88.56% (l∞ विकृत्तियों के साथ ε = 0.3) और उनके गुप्त CIFAR मॉडल की सटीकता को 44.71% (l∞ विकृत्तियों के साथ ε = 8.0) तक घटाने के साथ। प्रयोगों के लिए कोड https://github.com/tianzheng4/Distributionally-Adversarial-Attack पर जारी किया गया है।
जेंग एट अल. (बुध,) ने इस प्रश्न का अध्ययन किया।