對抗性環境中分類的非對稱魯棒性。一種用于訓練分類器的計算方法。所述方法包括接收由成對的訓練輸入信號和輸出信號組成的訓練數據集，分類器通過參數被參數化，針對至少兩個不同類中的每一個來接收類相關允許擾動，并且包括針對第一類的第一類相關允許擾動和針對第二類的第二類相關允許擾動，以及接收損失函數；所述方法進一步包括將訓練數據集分區成用第一標簽標記的第一子集和用第二標簽標記的第二子集。所述方法還包括響應于第一子集和第一類相關允許擾動計算第一損失，以及響應于第二子集和第二類相關允許擾動計算第二損失。所述方法還包括響應于第一損失和第二損失更新參數以獲得更新的參數。

技術領域

本公開涉及用于在對抗性環境中為分類提供非對稱魯棒性的計算方法和計算機系統，包括在對抗性環境中訓練分類器（例如，機器學習（ML）算法）的計算方法和計算機系統。

背景技術

監督式機器學習（ML）算法（另外被稱為分類器）包括構建在深度神經網絡上的深度學習算法。ML算法在其輸入空間上容易受到對抗性攻擊。分類器可以用標示，它將由表明的特征映射到類中。對的對抗性攻擊對應于不可覺察的擾動，當將該不可覺察的擾動添加到輸入時，分類器輸出不同的結果，即。不可覺察性經常通過約束擾動的范數、或者通過強迫改變的所感知的不可覺察性、例如通過增加算子區分未擾動數據與擾動數據的困難來被建模為一組允許的擾動的成員資格。分類器對由惡意代理或噪聲源引起的對抗性攻擊的敏感性引發了人們對其在關鍵任務中的使用的關注。例如，針對輸入的細微不可覺察的改變可能引起針對分類器的輸出和行為的劇烈改變。

發明內容

根據一個實施例，公開了一種用于訓練分類器的計算方法。該方法包括接收由成對的訓練輸入信號和對應的輸出信號組成的訓練數據集。分類器通過參數被參數化并被配置為將從傳感器獲得的輸入信號分類為至少兩個不同的類，包括第一類和第二類。該方法進一步包括針對至少兩個不同類中的每一個來接收類相關允許擾動（class-dependentallowed perturbation），并且包括針對第一類的第一類相關允許擾動和針對第二類的第二類相關允許擾動。該方法進一步包括接收損失函數。該計算方法還包括將訓練數據集分區成用對應于第一類的第一標簽標記的第一子集和用對應于第二類的第二標簽標記的第二子集。該計算方法還包括響應于第一子集和第一類相關允許擾動計算第一損失，以及響應于第二子集和第二類相關允許擾動計算第二損失。該計算方法還包括響應于第一損失和第二損失更新參數以獲得更新的參數。

在第二實施例中，公開了一種非暫時性計算機可讀介質，其包括計算機可執行指令和用于維持計算機可執行指令的存儲器。計算機可執行指令在由計算機的處理器執行時實行包括接收由成對的訓練輸入信號和對應的輸出信號組成的訓練數據集的功能。分類器通過參數被參數化并被配置為將從傳感器獲得的輸入信號分類為至少兩個不同的類，包括第一類和第二類。該功能進一步包括針對至少兩個不同類中的每一個來接收類相關允許擾動，并且包括針對第一類的第一類相關允許擾動和針對第二類的第二類相關允許擾動。該功能進一步包括接收損失函數。該功能進一步包括將訓練數據集分區成用對應于第一類的第一標簽標記的第一子集和用對應于第二類的第二標簽標記的第二子集。該功能還包括響應于第一子集和第一類相關允許擾動計算第一損失，以及響應于第二子集和第二類相關允許擾動計算第二損失。該功能還包括響應于第一損失和第二損失更新參數以獲得更新的參數。