摘要:可以想象�,監(jiān)督式學(xué)習(xí)和增強式學(xué)習(xí)的不同可能會防止對抗性攻擊在黑盒測試環(huán)境下發(fā)生作用�,因為攻擊無法進入目標(biāo)策略網(wǎng)絡(luò)���。我們的實驗證明����,即使在黑盒測試中�,使用特定對抗樣本仍然可以較輕易地愚弄神經(jīng)網(wǎng)絡(luò)策略。
機器學(xué)習(xí)分類器在故意引發(fā)誤分類的輸入面前具有脆弱性��。在計算機視覺應(yīng)用的環(huán)境中�,對這種對抗樣本已經(jīng)有了充分研究。論文中��,我們證明了對于強化學(xué)習(xí)中的神經(jīng)網(wǎng)絡(luò)策略�����,對抗性攻擊依然有效����。我們特別論證了,現(xiàn)有的制作樣本的技術(shù)可以顯著降低訓(xùn)練策略在測試時的性能���。我們的威脅模型認為對抗攻擊會為神經(jīng)網(wǎng)絡(luò)策略的原始輸入引入小的干擾�����。針對對抗樣本攻擊����,我們通過白盒測試和黑盒測試, 描述了任務(wù)和訓(xùn)練算法中體現(xiàn)的脆弱程度���。 無論是學(xué)習(xí)任務(wù)還是訓(xùn)練算法��,我們都觀測到了性能的顯著下降���,即使對抗干擾微小到無法被人類察覺的程度�����。
深度學(xué)習(xí)和深度強化學(xué)習(xí)最近的進展使得涵蓋了從原始輸入到動作輸出的end-to-end學(xué)習(xí)策略變?yōu)榭赡?����。深度強化學(xué)習(xí)算法的訓(xùn)練策略已經(jīng)在Atari 游戲和圍棋中取得了驕人的成績����,展現(xiàn)出復(fù)雜的機器操縱技巧���,學(xué)習(xí)執(zhí)行了運動任務(wù),并在顯示世界中進行了無人駕駛�����。
這些策略由神經(jīng)網(wǎng)絡(luò)賦予了參數(shù)�,并在監(jiān)督式學(xué)習(xí)中表現(xiàn)出對于對抗性攻擊的脆弱性。例如����,對訓(xùn)練用于分類圖像的卷積神經(jīng)網(wǎng)絡(luò),添加進入輸入圖像的干擾可能會引起網(wǎng)絡(luò)對圖像的誤分���,而人類卻看不出加入干擾前后的圖像有何不同�。論文中�����,我們會研究經(jīng)過深度強化學(xué)習(xí)訓(xùn)練的神經(jīng)網(wǎng)絡(luò)策略����,是否會受到這樣的對抗樣本的影響����。
不同于在學(xué)習(xí)過程中處理修正后的訓(xùn)練數(shù)據(jù)集的監(jiān)督式學(xué)習(xí)�����,在增強式學(xué)習(xí)中����,這些訓(xùn)練數(shù)據(jù)是在整個訓(xùn)練過程中逐漸被收集起來的。換句話說��,用于訓(xùn)練策略的算法����,甚至是策略網(wǎng)絡(luò)加權(quán)的隨機初始態(tài),都會影響到訓(xùn)練中的狀態(tài)和動作��。不難想象�����,根據(jù)初始化和訓(xùn)練方式的不同�����,被訓(xùn)練做相同任務(wù)的策略���,可能大相徑庭(比如從原始數(shù)據(jù)中提取高級特征)���。因此,某些特定的學(xué)習(xí)算法可能導(dǎo)致出現(xiàn)較為不受對抗樣本影響的策略�。可以想象�����,監(jiān)督式學(xué)習(xí)和增強式學(xué)習(xí)的不同可能會防止對抗性攻擊在黑盒測試環(huán)境下發(fā)生作用�,因為攻擊無法進入目標(biāo)策略網(wǎng)絡(luò)。
圖表1:產(chǎn)生對抗樣本的兩種方法����,適用于借助DQN算法玩PONG游戲來進行策略訓(xùn)練。點形箭頭從小球開始���,表明了其運動方向��,綠色的箭頭則強調(diào)了對于特定輸入來說較大化Q值的action����。兩種情況下,對于原始輸入����,策略都采取了好的action,但對抗性干擾都造成了小球和點的遺失����。
上圖:對抗性樣本使用FGSM構(gòu)造,對抗干擾帶有l(wèi)∞-norm constraint�����;轉(zhuǎn)化為8-bit的圖像編碼率后����,對抗性輸入和原始輸入相等,但仍然影響了性能��。
下圖:對抗性樣本使用FGSM構(gòu)造��,對抗干擾帶有l(wèi)∞-norm constraint�����;最優(yōu)干擾是在真實的小球下方創(chuàng)造一個“假的”小球����。
我們的主要貢獻是描寫了兩個因素對于對抗樣本的作用效果:用于學(xué)習(xí)策略的深度強化學(xué)習(xí)算法,以及對抗性攻擊自己是否能進入策略網(wǎng)絡(luò)(白盒測試vs.黑盒測試)����。我們首先分析了對4種Atari games的3類白盒攻擊,其中游戲是經(jīng)過3種深度強化學(xué)習(xí)算法訓(xùn)練過的(DQN����、TRPO和A3C)。我們論證了�,整體上來說,這些經(jīng)訓(xùn)練的策略對于對抗樣本是脆弱的�����。然而��,經(jīng)過TRPO和A3C訓(xùn)練的策略似乎對于對抗樣本的抵抗性更好��。圖表1顯示了在測試時的特定一刻��,兩個對經(jīng)過DQN訓(xùn)練的Pong策略的對抗性攻擊樣本�����。
接著,我們考察了對于相同策略的黑盒攻擊�����,前提是我們假設(shè)對抗性攻擊進入到了訓(xùn)練環(huán)境(例如模擬器)�����,但不是目標(biāo)策略的隨機初始態(tài)�����,而且不知道學(xué)習(xí)策略是什么���。在計算機視覺方面��,Szegedy等人觀測到了可傳遞特性:一個設(shè)計用于被一種模型誤分的對抗樣本經(jīng)常會被其他經(jīng)過訓(xùn)練來解決相同問題的模型誤分����。我們觀測到在強化學(xué)習(xí)應(yīng)用中�,整個數(shù)據(jù)集里也存在這樣的可傳遞特性,即一個設(shè)計用于干擾某種策略運行的對抗樣本也會干擾另一種策略的運行�����,只要這些策略是訓(xùn)練用于解決同樣的問題。特別的�,我們觀測到對抗樣本會在使用不同trajectory rollouts算法進行訓(xùn)練的模型之間傳遞����,會在使用不同訓(xùn)練算法進行訓(xùn)練的模型之間傳遞。
下面介紹一下關(guān)于實驗的基本情況�����。
我們在 Arcade Learning Environment 模擬器中評估了針對4種Atari 2600游戲的對抗性攻擊��,四種游戲是:Chopper Command, Pong, Seaquest, and Space Invaders.
我們用3種深度強化學(xué)習(xí)算法對每個游戲進行了訓(xùn)練:A3C��、TRPO和DQN��。
對于DQN�����,我們使用了與附錄1相同的前處理和神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)�����。我們也把這一結(jié)構(gòu)用于經(jīng)A3C和TRPO訓(xùn)練的隨機策略。需要指出��,對神經(jīng)網(wǎng)絡(luò)策略的輸入是最后4副圖像的連續(xù)體�����,從RGB轉(zhuǎn)換為Luminance(Y)���,大小修改為to 84 × 84�����。Luminance value被定義為從0到1���。策略的輸出所有可能的action的分布。
對于每個游戲和訓(xùn)練算法��,我們從不同的隨機初始態(tài)開始訓(xùn)練了5個策略����。我們主要關(guān)注了表現(xiàn)較好的訓(xùn)練策略(我們的定義是那些在最后10次訓(xùn)練迭代中拿到較大分?jǐn)?shù)的80%的策略)。我們最終為每個游戲和訓(xùn)練算法選取了3個策略����。有一些特定組合(比如Seaquest和A3C)僅有一條策略達到要求。
我們在rllab框架內(nèi)部進行了實驗,使用了TRPO的rllab 平行版本���,并整合了DQN和A3C���。我們使用OpenAI Gym enviroments作為Arcade Learning Environment的交互界面。
我們在 Amazon EC2 c4.8x large machines上用TRPO和A3C進行了策略訓(xùn)練����。運行TRPO時每100����,000步有2000次迭代,用時1.5到2天�����。KL散度設(shè)在0.01�����;運行A3C時�,我們使用了18 actor-learner threads,learning rate是0.0004�����。對于每個策略,每1,000,000步進行200次迭代�����,耗時1.5到2天����;運行DQN時,我們在Amazon EC2 p2.xlarge machines上進行策略訓(xùn)練����。每代 100000步,訓(xùn)練2天���。
這一研究方向?qū)τ谏窠?jīng)網(wǎng)絡(luò)策略在線上和現(xiàn)實世界的布局都有顯著意義���。我們的實驗證明,即使在黑盒測試中��,使用特定對抗樣本仍然可以較輕易地“愚弄”神經(jīng)網(wǎng)絡(luò)策略��。這些對抗性干擾在現(xiàn)實世界中也可能發(fā)生作用����,比如在路面上特意添加的色塊可能會搞暈遵循車道策略的無人駕駛汽車����。因此��,未來工作的一個重要方向就是發(fā)展和對抗性攻擊相抵抗的防范措施���,這可能包括在訓(xùn)練時增加對抗性干擾的樣本����,或者在測試時偵測對抗性輸入�。
論文地址:https://arxiv.org/pdf/1702.02284.pdf
參考文獻
[1] V. Mnih, K. Kavukcuoglu, D. Silver, A. Graves, I. Antonoglou, D. Wierstra, and M. Riedmiller. Playing atari with deep reinforcement learning. In NIPS Workshop on Deep Learning, 2013.
歡迎加入本站公開興趣群商業(yè)智能與數(shù)據(jù)分析群
興趣范圍包括各種讓數(shù)據(jù)產(chǎn)生價值的辦法��,實際應(yīng)用案例分享與討論��,分析工具���,ETL工具�,數(shù)據(jù)倉庫����,數(shù)據(jù)挖掘工具��,報表系統(tǒng)等全方位知識
QQ群:81035754
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/4465.html
