贝叶斯神经网络对梯度攻击的鲁棒性

©PaperWeekly 原创 · 作者｜尹娟

学校｜北京理工大学博士生

研究方向｜随机过程、复杂网络单位

引言

贝叶斯神经网络（BNN）在最近几年得到了一定的重视，因为其具有一定的推断能力。BNN 不同于一般的 DNN，其权重参数是随机变量，而非确定的值，它是通过概率建模和神经网络结合起来，并能够给出预测结果的置信度。

其先验用来描述关键参数，并作为神经网络的输入。神经网络的输出用来描述特定的概率分布的似然。通过采样或者变分推断来计算后验分布。这对于很多问题来说非常关键，由于 BNN 具有不确定性量化能力，所以具有非常强的鲁棒性。

本文分析了贝叶斯神经网络对对抗攻击具有一定的鲁棒性并且分析了在大数据量、过参数极限下的对抗攻击的几何结构。并且作者证明了，在一定范围内，由于数据分布中的简并性（高维数据可以映射到低维流形上），当数据位于环境空间的低维子流形上时，基于梯度的攻击的脆弱性就会出现，并且本论文提供了相关的代码，最后一部分会介绍相关的代码。

论文标题：

Robustness of Bayesian Neural Networks to Gradient-Based Attacks

论文链接：

https://arxiv.org/abs/2002.04359

论文的贡献

本文的贡献可以归结如下三点：

• 作者提出了在大数据限制下 BNNs 对抗鲁棒性分析的理论框架，该理论框架也是该论文的核心贡献。

• 作者证明了在损失函数梯度的后验平均值为零的情况下，贝叶斯神经网络会对基于梯度的攻击的具有一定的鲁棒性，论文中的定理，引理和推论都以此展开。

• 该论文是一篇理论和实验相对严格的文章，实验表明 BNN 对基于梯度的攻击具有鲁棒性，能够抵抗已知的精度鲁棒性权衡，与作者的证明很好的切合。

模型介绍

3.1 核心思想

论文作者通过理论推导和大量的实验证明了贝叶斯神经网络具有一定的鲁棒性，网络本身就可以抵御一定的对抗攻击，并且提出了攻击贝叶斯神经网络的方法 FGSM（类似于攻击传统神经网络的 FGSM），类似的还有 PGD 和 MIM 等迭代的攻击。

3.2 贝叶斯网络

贝叶斯模型可以通过预测器的集合来捕捉数据驱动模型的内在认知下的不确定性；它通过将算法参数（以及相应的预测）转化为随机变量来实现。在神经网络中，对于具有输入 和网络权重参数 的神经网络 ，则从网络权重 的先验度量开始。通过似然 评估权重为 的网络与数据 的拟合度。

贝叶斯推理通过 Bayes 定理将似然和先验相结合，得到权重空间 的后验测度。神经网络的标准训练可以看作是贝叶斯推理的一种近似。对于 NNs 这样的非线性/非共轭模型来说，精确地获得后验分布是不可能的。

后验分布的渐近精确样本可以通过蒙特卡洛模拟来获得，对于一个新输入的样本 贝叶斯预测都是从 n 个神经网络的集合中获得的，每个神经网络的权重都来自于其后验分布