讨论班小结_0324

This is a summary of the group meetings on 24 March, 2021

Efficient Certification of Spatial Robustness

这篇文章提出了一种计算范数约束向量场攻击的紧区间界限的新方法,使神经网络能够对向量场攻击进行验证。 首先是对每个像素的变换计算一个很紧的区间界,然后提出一个方法用线性平面去拟合这个上界和下界,也就是用线性平面计算它的凸松弛。并且展示了如何通过flow constraints来提供一个更紧的凸松弛。这种方法可以收紧对光滑向量场的松弛,并且可以和目前主流的鲁棒性验证器集成。

Questions:

  1. 在二范数的情况下,如何通过平面去约束球体呢?

二范数的时候实际上也是先计算这个球体可能达到最大值和最小值的一些候选集点,通过平面对这些候选集点进行拟合和约束,而不是用平面去约束一个球。

  1. 这个向量场攻击有什么实际意义吗?

向量场攻击包括了对图形的旋转,平移,放大缩小以及改变图像像素值的亮度等,如果攻击方式满足文中提出的流约束,就可以通过这个方法解决神经网络的鲁棒性问题。

  1. 文章有说可以解决什么样的流约束吗?或者这个流约束是怎么定义的?

流约束的直观意义是两个像素的位移向量不能相差太大,也就是像素的变换是“光滑”的。它的标准定义是: