亚洲男人的天堂2018av,欧美草比,久久久久久免费视频精选,国色天香在线看免费,久久久久亚洲av成人片仓井空

隨著機器學習系統被部署到現實世界中的安全關鍵應用中，確保這些系統的魯棒性和可信度變得越來越重要。當深度神經網絡脆弱的本質被發現時，機器學習魯棒性的研究引起了大量的關注。對這種行為的迷戀和擔憂導致了對對抗魯棒性的大量研究，這種研究考察的是模型在最壞情況下的擾動輸入（即對抗性樣本）上的性能。在這篇論文的第一章中，我們展示了對抗性訓練方法在開發經驗魯棒深度網絡方面的改進。首先，我們顯示，通過某些修改，使用快速梯度符號方法的對抗性訓練可以產生比以前認為可能的更魯棒的模型，同時保持相比于其他對抗性訓練方法的更低的訓練成本。然后，我們討論我們在對抗性訓練過程中發現的過擬合的有害影響，并顯示，通過使用基于驗證的早期停止，可以極大地提高對抗性訓練模型的魯棒測試性能。對更自然、非對抗性魯棒性設置的日益關注已經導致研究者們以模型在隨機采樣輸入腐敗的平均性能來衡量魯棒性，這也是標準數據增強策略的基礎。在這篇論文的第二章中，我們將平均和最壞情況下的魯棒性的看似獨立的概念，在一個統一的框架下進行概括，這使我們能夠在廣泛的魯棒性水平上評估模型。對于實際使用，我們介紹了一種基于路徑采樣的方法，用于精確地近似這種中間魯棒性目標。我們使用這個度量來分析并比較深度網絡在零射擊和微調設置中，以更好地理解大規模預訓練和微調對魯棒性的影響。我們表明，我們也可以使用這個目標來訓練模型到中間級別的魯棒性，并進一步探索更有效的訓練方法，以彌補平均和最壞情況下的魯棒性之間的差距。

盡管神經網絡在各種應用中的高度公開化的成就備受矚目，但它們尚未在安全關鍵的應用中得到廣泛部署。實際上，關于深度學習系統的魯棒性、公平性、隱私性和可解釋性存在基本的疑慮。在這篇論文中，我們致力于通過提出有關神經網絡驗證和訓練的貢獻，提高對深度學習系統的信任。首先，通過為流行的網絡松弛設計雙重求解器，我們提供了快速且可擴展的神經網絡輸出邊界。具體來說，我們提出了兩種求解元素激活函數凸殼的求解器，以及基于ReLU激活與前線性層組合凸殼的兩種算法。我們展示了這些方法比現有求解器明顯快，并且改善了以往雙重算法的速度-精度權衡。為了有效地利用它們進行正式的神經網絡驗證，我們圍繞邊界算法設計了一個大規模并行的分枝定界框架。我們的貢獻，作為OVAL驗證框架的一部分，已經公開發布，它們改善了現有網絡驗證器的可擴展性，并對更近期的算法開發產生了影響。其次，我們提出了一種直觀且經濟的算法，通過分枝定界來訓練神經網絡以進行可驗證性。我們的方法被證明可以在驗證對小的敵對性擾動的魯棒性方面達到最先進的性能，同時比之前的算法降低了訓練成本。最后，我們進行了全面的實驗評估，評估了一次訓練網絡執行多個任務的專門訓練方案，顯示它們與簡單基線的性能相當。我們對我們的驚人結果提供了部分解釋，旨在進一步激發對深度多任務學習理解的研究。

在過去的幾年里，神經網絡在各種備受關注的應用中取得了顯著的性能，從蛋白質折疊（Senior等人，2020；Jumper等人，2021）到快速矩陣乘法（Fawzi等人，2022）。由于這些成就的宣傳，基于神經網絡的系統現在常常出現在主流信息媒體中（Geddes，2022；Larousserie，2022；Iannaccone，2022），這導致了媒體曝光率的持續增加。直接的結果是，人們對機器學習算法的可信度產生了極大的興趣（Varshney，2022）。特別的，人們的努力已經朝著確保神經網絡的公平性（Du等人，2020），可解釋性（Angelov和Soares，2020），魯棒性（Carlini和Wagner，2017）和隱私性（Abadi等人，2016）方向發展。深度學習在計算機視覺方面的進展（Krizhevsky等人，2012；Voulodimos等人，2018）尤其迅速，其中已經在標準化任務上取得了超過人類的性能（O’Mahony等人，2019）。然而，對敵對性例子的發現（Szegedy等人，2014；Goodfellow等人，2015），即人類無法察覺的擾動可以顯著改變網絡預測，對這種進步的基礎產生了嚴重的質疑。因此，越來越多的注意力開始致力于提供關于神經網絡行為的正式保證（Liu等人，2021b）。此外，人們注意到深度學習的實踐常常基于民間觀察和固定的流程，而不是對正在使用的復雜算法的嚴謹理解（Sculley等人，2018；Hutson，2018）。幸運的是，有許多工作試圖提供對預先存在的算法的全面評估（Greff等人，2017；Lucic等人，2018），常常揭示了更簡單基線的競爭性能（Brockschmidt，2020；Narang等人，2021）。 在這篇論文中，我們通過開發或為神經網絡驗證和訓練的高效算法提供支持，向可信任的深度學習邁進一步。在概述這篇論文中提出的各項貢獻（§1.4）之前，我們現在將介紹神經網絡驗證（§1.2）以及我們感興趣的背景下的神經網絡訓練（§1.3）。

這篇博士論文解決了大型語言模型（LLMs）的兩個重要挑戰：魯棒性和可擴展性。首先，我們通過學習代碼表示的視角來提高大型語言模型的魯棒性。我在這里強調我們在ContraCode上的工作，該模型學習了對保留標簽編輯具有魯棒性的代碼表示。其次，我們從系統角度解決可擴展性挑戰。我們提出了Checkmate，這是一個通過最優再物化超越GPU內存容量限制來支持模型訓練的系統。此外，Skyplane，一種優化云對象存儲之間大批量數據傳輸的系統，使得在云端訓練更大的預訓練數據集成為可能。總的來說，這些貢獻為提高大型語言模型的魯棒性和可擴展性提供了一條路徑。

在1945年，Vannevar Bush設想出了一種名為memex的假想設備，該設備能夠存儲和索引人類的所有知識，使用戶能夠通過"全新形式的百科全書"查詢和導航知識。盡管Bush設想的memex是一種基于機械微膠片的設備，但他的遠見遠超出了該設備的物理形態。他預見了深度語言理解、知識存儲和推理系統的發展。大型語言模型（LLMs）通過學習可以查詢和推理的語言表示，已經朝這個方向取得了重大進展。不同于以往的語言模型，這些神經網絡在大量數據上進行訓練，以預測單詞并理解語言。他們在某些基準測試上達到了人類水平的表現，但也面臨著限制其廣泛部署的重大挑戰。具體來說，大型語言模型在兩個維度上面臨重要難關：魯棒性和可擴展性。大型語言模型的魯棒性是一個多面的挑戰。雖然大型語言模型在理解和生成文本方面取得了顯著進步，但他們仍然在處理幻覺、對輸入擾動的敏感性和組合泛化上存在困難。另一方面，可擴展性是一個關于規模和計算資源的挑戰。對于大型語言模型，交叉熵損失隨著模型規模、數據集規模和用于訓練的計算量的增加而呈冪律增長。在這篇博士論文中，我為持續改進大型語言模型的魯棒性和可擴展性做出了貢獻。

第二章：增強大型語言模型的魯棒性

在第二章中，我們研究了提高大型語言模型魯棒性的策略。這個討論的一個核心問題是語言建模目標是否會導致學習魯棒的語義表示，或者僅僅是基于局部上下文預測標記。為了回答這個問題，我們轉向源代碼的情境，其中程序的語義是由其執行定義的。我們探索了對比預訓練任務ContraCode，它學習代碼的功能而不是形式。ContraCode預訓練一個神經網絡，區分功能上類似的程序變體與眾多非等效的干擾項。這種策略在JavaScript總結和TypeScript類型推斷精度上顯示出改善。我們還介紹了一個新的零射擊JavaScript代碼克隆檢測數據集，結果表明與其他方法相比，ContraCode更具魯棒性和語義意義。

第三章：解決大型語言模型的可擴展性挑戰

在第三章中，我們開始解決大型語言模型的可擴展性挑戰，首先考察了在訓練大型模型過程中出現的"內存壁"問題。在這里，我們介紹了Checkmate，一個在DNN訓練中優化計算時間和內存需求之間權衡的系統。Checkmate解決了張量重制化優化問題，這是先前檢查點策略的一種推廣。它使用現成的MILP求解器確定最優的重制化計劃，并加速了數百萬次的訓練迭代。該系統可以擴展到復雜、現實的架構，并且是硬件感知的，使用基于特定加速器的配置文件成本模型。Checkmate使得能夠訓練實際網絡，其輸入最大可達5.1倍。

第四章：大型預訓練數據集的管理

在第四章中，我們探討了大型預訓練數據集的管理，這也是可擴展性挑戰的另一個方面。具體而言，我們研究了如何在云端目標之間收集和移動這些數據集。我們介紹了Skyplane，一個使用云感知網絡覆蓋來進行云對象存儲間批量數據傳輸的系統。它使用混合整數線性規劃來確定數據傳輸的最優覆蓋路徑和資源分配，從而優化價格和性能的平衡。Skyplane在單一云中的傳輸性能比公共云傳輸服務高出4.6倍，跨云傳輸性能高出5.0

深度神經網絡（DNN）在幾乎所有的學術和商業領域都產生了突破性的成果，并將作為未來人機團隊的主力，使美國防部（DOD）現代化。因此，領導人將需要信任和依賴這些網絡，這使得它們的安全成為最重要的問題。大量的研究表明，DNN仍然容易受到對抗性樣本的影響。雖然已經提出了許多防御方案來對付同樣多的攻擊載體，但沒有一個成功地使DNN免受這種脆弱性的影響。新穎的攻擊暴露了網絡防御的獨特盲點，表明需要一個強大的、可適應的攻擊，用來在開發階段早期暴露這些漏洞。我們提出了一種基于強化學習的新型攻擊，即對抗性強化學習智能體（ARLA），旨在學習DNN的漏洞，并產生對抗性樣本來利用這些漏洞。ARLA能夠顯著降低五個CIFAR-10 DNN的準確性，其中四個使用最先進的防御。我們將我們的方法與其他最先進的攻擊進行了比較，發現有證據表明ARLA是一種適應性攻擊，使其成為在國防部內部署DNN之前測試其可靠性的有用工具。

1.1 深度學習與美國防部

美國海軍（USN）和國防部（DOD）建立對對手的持久技術優勢[1]，他們必將尖端的機器學習（ML）技術整合到當前的系統和流程中。ML，即系統從原始數據中提取意義和知識[2]，已經將更廣泛的人工智能（AI）領域推向了似乎無止境的應用。人們很難找到一個領域，無論是學術、商業還是醫療領域，ML都沒有進行過革新。ML已經被用來幫助識別汽車保險欺詐[3]，提供宮頸癌的早期檢測[4]，以及檢測和描述飛機上冰的形成[5]。在這些情況下，ML模型的作用不是做決定，只是為人類操作員提供更好的信息。通過以類似的方式應用ML，國防部有一個路線圖，可以將系統和流程演變成遵守道德人工智能原則的人機團隊[6]。

雖然ML可以包含廣泛的用于預測的模型，但一個被稱為深度學習的子集是這個人工智能夏天的驅動力。與線性回歸建模和支持向量機等更簡單的ML技術不同，深度學習包含了利用深度神經網絡（DNNs）的ML模型，它使用許多隱藏的人工神經元層，通過數據學習復雜的概念[2]。盡管DNNs被用于許多目的，但本論文重點關注那些專門用于圖像識別的DNNs。

1.2 信任機器

美國防部要想成功過渡到人機團隊，軍事和文職領導人必須能夠信任和依賴基礎技術。這對高級領導人來說是一個不小的要求。與人類分析師不同，他們的思維過程可以通過對話來理解，但沒有明確的路徑來理解DNN如何完全基于數據做出決定。因此，信任必須建立在一個合理的信念上，即該系統能夠抵御攻擊，其結果是一致和可靠的。任何關于可信度和可靠性的擔憂都是合理的，因為一連串的研究已經證明，DNN在對抗性樣本面前始終是脆弱的。

對抗性樣本（AE）是一個良性的輸入樣本，通過添加擾動導致目標DNN返回不正確的輸出而被畸形化。AE的目的是在降低目標網絡的整體準確性的同時顯得非惡意的，這可能會產生嚴重的、威脅生命的后果。例如，考慮到自動駕駛以及汽車不混淆停車和讓行標志是多么關鍵。對于軍事指揮官來說，如果一個網絡對對抗性樣本不健全，那么對該系統的信任很容易就會下降，并且該系統會被忽略，而被用于更傳統和耗時的分析。想象一下一個系統，DNN正確地過濾掉90%的圖像，只留下10%的標簽供人類審查。如果該系統被成功攻擊，那么人機團隊就會失敗，分析員很快就會被新的工作量壓垮。

1.3 研究問題

對抗性攻擊算法的核心是函數，即給定一個良性的輸入??，就會產生一個對抗性的???。許多攻擊可能需要樣本的真實標簽（??），或目標網絡或它的一些近似值，但它們仍然只是函數。因此，在給定的一組輸入變量的情況下，某種攻擊總是會輸出相同的AE。深度學習不是攻擊本身的一部分，這意味著在創建對抗性樣本時沒有涉及ML。這種生成AE的算法方法使我們考慮到強化學習（RL）領域，其中一個DNN "智能體"學習在特定環境中的最佳行為，同時追求一個特定的目標[7]。來自RL研究小組DeepMind的大量成功案例表明，RL能夠在各種游戲中實現超人類的表現[8]-[11]。最簡單的說法是，RL智能體通過觀察環境的模式進行學習，采取獲得某種獎勵的行動，然后觀察隨后的狀態。智能體試圖使其獲得的總獎勵最大化，最終學會了最佳的行為策略。

考慮到RL和對抗性樣本對DNN構成的威脅，我們提出了第一個研究問題：

1）如果圖像是環境，像素變化是可玩的行動，強化學習智能體能否學會生成最小擾動的對抗性樣本？

在所有研究對抗性攻擊的學術文獻中，有同樣多的文獻涉及對抗性防御： 一個新的攻擊被提出來，之后的某個時候會有一個反擊它的防御，而這個循環會重復下去。雖然最先進的防御手段可以抵御所有當前的攻擊，但不能保證防御手段能夠抵御未知的攻擊。如果一種攻擊可以適應任何防御，它將幫助研究人員和開發人員領先于未知的攻擊。考慮到攻擊的適應性，我們提出了第二個研究問題：

2）基于強化學習的對抗性攻擊能否成為一種適應性攻擊？

通過解決這兩個問題，我們首次將對抗性研究和強化學習這兩個領域融合在一起。

1.4 對抗強化學習智能體(ARLA)

這項研究引入了第一個基于RL的對抗性攻擊。命名為對抗性強化學習智能體（ARLA），我們的攻擊使用良性樣本圖像作為學習環境來生成對抗性樣本，目標是找到與原始樣本的?2距離最短的對抗者。ARLA使用雙重深度Q-learning（DQL），在第2章中進行了解釋，并采用了改進的深度Q-網絡（DQN）智能體架構，在第2章和第3章中進行了詳細解釋。我們的結果提供了證據，證明ARLA是一種自適應的對抗性攻擊，對本論文中用于攻擊評估的所有五種模型都顯示出明顯的攻擊成功。雖然我們的結果很有希望，但還需要做更多的工作來穩定ARLA如何學習最佳行為政策。

我們研究的目的是為國防部提供一個有效的工具來評估武裝部門正在開發的DNN。與其他需要由技術專家對特定防御進行調整的適應性攻擊不同，基于RL的對抗性攻擊可能會以更大的難度和最少的培訓來利用。我們希望ARLA就是這樣一種攻擊，并成為在作為未來軍事系統一部分部署的人機團隊中建立機構信任的一個小而有價值的步驟。

機器學習幾乎存在于日常生活的每個方面。大量的數據是需要的，但對于特定的問題卻并不總是可用的，這就排除了諸如深度學習和卷積神經網絡等先進方法的使用。歐幾里得網絡（EN）可以用來緩解這些問題。EN被徹底測試，以證明其作為分類算法的可行性，以及其方法可用于增強數據和轉換輸入數據以增加其特征空間維度。最初，人們假設EN可以用來合成數據以增加數據集，盡管這種方法被證明是無效的。下一個研究領域試圖擴大輸入特征空間的維度，以提高額外分類器的性能。這一領域顯示了積極的結果，這支持了更復雜、更密集的輸入將使算法對數據有更多的洞察力并提高性能的假設。人們發現EN作為一個獨立的分類器表現特別好，因為它在21個數據集中的12個取得了最高的準確性。對于剩下的9個，雖然它沒有最高的準確率，但EN的表現與更復雜的算法相當。事實證明，EN還能夠擴大數據集的特征空間，以進一步提高性能。這種策略提供了一種更穩健的分類技術，并在所有數據集之間看到了平均3%的準確性。

這項研究的目標是研究機器學習系統對對抗性數據的魯棒性和脆弱性的數學概念和定量措施，并開發能夠定量評估深度學習工具的魯棒性和脆弱性的計算方法，以應用于網絡安全環境。該項目的第一階段是文獻回顧。第二階段的研究主要是對基礎設施網絡安全的魯棒性分析。使用微電網電力系統模型和基于學習的故障檢測作為測試平臺，我們研究了神經網絡在受到噪聲或中毒數據時的魯棒性。最后，項目的第三階段，探討了分布式穩健性。神經網絡有時可能會在它們被訓練的環境之外使用。如果傳入數據的分布與訓練數據的分布明顯不同，可能會對神經網絡的性能產生負面影響。除了對魯棒性的定量分析外，該研究還揭示了魯棒性與訓練數據的動態行為之間的潛在關系。

神經網絡在處理大量數據方面表現優異，從家庭助手到自動駕駛汽車，在很多方面都極大地造福了我們的生活。然而，人們發現神經網絡是脆弱的。通過以一種人類察覺不到的方式輕微擾亂輸入，神經網絡幾乎不能做出任何正確的預測。這嚴重限制了它們在安全關鍵領域的應用，如醫療健康和金融。在本文中，我們研究了魯棒神經網絡，希望促進神經網絡的更廣泛和更可靠的應用。具體來說，我們專注于評估和訓練魯棒的神經網絡。我們首先考慮魯棒性評估。評估神經網絡魯棒性的一種常用方法是通過形式化驗證，這通常是計算開銷很大的。我們為加快這一進程做出了一些貢獻。簡單地說，我們采用了在統一的分支和定界框架下可以重新制定大多數驗證方法的思想。通過直接處理統一框架，對分支和邊界組件提出了高層次的改進，包括啟發式和學習框架。此外，我們引入了新的數據集，使我們的方法能夠與其他現有的方法進行綜合比較分析。在構造魯棒神經網絡方面，我們提出了一種新的魯棒訓練算法。許多流行的魯棒訓練方法依賴于強對手，當模型復雜度和輸入維數較高時，計算成本較高。我們設計了一個新的框架，可以更有效地利用對手。因此，為了達到類似的性能，可以使用廉價而弱小的對手。在此基礎上，介紹了算法ATLAS。我們通過展示ATLAS在幾個標準數據集上的出色表現來證明它的有效性和效率。

美國海軍和國防部（DOD）正在優先考慮在各戰爭領域迅速采用人工智能（AI），以保持對美國有利的技術優勢。機器學習（ML）是最近人工智能發展的基礎，它存在著一個持續的、沒有得到充分解決的關鍵缺陷：對抗性樣本。自2013年發現以來，在深度神經網絡（DNN）分類器中出現了許多新形式的對抗性樣本攻擊，并提出了許多狹義和特殊的防御措施。這些防御措施都沒有經受住反測試。一些研究人員提出，這種易受攻擊性可能是不可避免的。到目前為止，還沒有發現有效的、可計算的、通用的方法，可以加固DNN，使其免受這種和相關的泛化問題的影響。我們的前提是，ML模型對所有對抗性樣本的魯棒性與抵抗力，可以通過將模型分類空間數據密集區之間的數據點稀疏的潛在空間，作為障礙隔離來改進。我們研究了兩種不同的方法來實現這種對基于對抗性樣本的攻擊防御，測試這些防御對最有效的攻擊，并將結果與現有的技術狀態的防御進行比較。

第一章 引言

人工智能（AI）已被提出來作為推進國防部能力的一個關鍵推動因素。人工智能國家安全委員會在其最終報告中寫道："如果我們的武裝部隊不加速采用人工智能，他們的軍事技術競爭優勢可能會在未來十年內喪失"，建議 "美國現在必須采取行動，將人工智能系統投入使用，并在人工智能創新方面投入大量資源，以保護其安全，促進其繁榮，并保障民主的未來" [1]。鑒于人工智能或更具體地說，深度神經網絡（DNN）中的機器學習（ML）最近在科學和工業領域取得了廣泛的突破，這種關注無疑是恰當的。然而，在國防應用中利用ML和其他現代 "深度學習 "方法并非沒有其固有的附加風險。

最近的人工智能主張已經近乎夸大其詞；當然，在與軍事和文職領導層的高層溝通中，也發生了一些夸大其詞的情況。作為這種夸張的例子，參考一下《2019年美國總統經濟報告》是如何向美國領導人介紹機器視覺方面的人工智能狀況的。在第343頁題為 "2010-17年人工智能和人類的圖像分類錯誤率 "的圖表中，它顯示了 "人類分類 "錯誤率與機器分類錯誤率將在2015年超過人類圖像分類能力。對這一說法仔細考慮并對參考研究甚至是當前最先進研究進行檢查，顯示這一特殊的發展仍然是一個遙遠的、尚未達到的里程碑。

1.1 深度學習的突破

即使ML仍然存在挑戰，近年來，機器學習在科學、工業和商業領域的成功應用也在急劇增加。深度神經網絡已經在自然語言處理、天文學、癌癥診斷、蛋白質折疊、語音識別和機器視覺等不同領域取得了巨大的進步[2]-[8]。因此，這類系統的潛在軍事應用同樣比比皆是：分析頻譜上下的聲學和電磁傳感器數據、機器視覺、尋找-修復-跟蹤和瞄準對手的飛機、地下、水面和陸地戰斗人員、人類語言處理、語音識別、自主空中/地面/地下/陸地車輛、信息戰、情報、監視和偵察（ISR）整合、機器人技術、網絡防御、網絡攻擊、戰術決策輔助，等等。

1.2 深度學習的脆弱性

盡管這項技術帶來了巨大進步，但目前的ML分類方法創建的模型在其核心上是有缺陷的，因為它們非常容易受到對抗性樣本攻擊和相關欺騙技術的影響[9]。廣義上講，文獻中定義的這類攻擊有三類：探索性攻擊、逃避性攻擊和中毒性攻擊。在本報告中，我們主要關注防御我們認為最關鍵的需求，即逃避攻擊。為了提供背景，我們簡要地概述了這三種攻擊。探索性攻擊，對手并不試圖實現錯誤分類，而是試圖通過精心設計輸入來獲得模型的知識，這些輸入的結果將提供關于模型內部狀態的信息，其目的是減少模型的不確定性，以支持未來的攻擊。中毒攻擊試圖在訓練期間修改模型，以偷偷地完成模型的一些未被發現的行為變化。最后，在逃避攻擊中，攻擊者不知不覺地修改了人工制定或模型的輸入，以產生分類的變化，從良性的或最初設定的類別到一些其他的、欺騙性的不真實的類別[10]。這最后一類是我們防御的重點，從這一點出發，我們把這些簡單地稱為對抗性樣本攻擊[11]。

自從2013年最初發現DNN分類器中的對抗性攻擊（逃避）以來，已經出現了許多種這樣的攻擊，并且至少提出了同樣多的狹義的特定防御措施作為回應。不幸的是，到目前為止，所提出的防御措施沒有一個能經受住反測試和適應性攻擊[12]。一些研究人員提出，這種易感性可能是空間中問題表述的一個不可避免的特征[13]。目前，還沒有發現一種有效的、計算上可接受的、通用的方法，可以支撐DNN對抗類似的相關的泛化問題[12], [14]。

1.3 國防部（DoD）的影響

在國防部的范圍內，大家都承認欺騙在戰爭中起著核心作用。因此，戰爭系統必須被設計成對欺騙有高度的適應性[15]。馬基雅弗利在“Prince”中寫道："......雖然在任何行動中使用欺騙都是可憎的，但在發動戰爭時，它是值得稱贊的，并能帶來名聲：用欺騙征服敵人與用武力征服敵人一樣受到稱贊。" 對孫子來說，這甚至是更重要的因素，"所有的戰爭都是基于欺騙"。在國防應用中，至關重要的是，不僅系統在戰斗開始時就如設計之處那樣工作，而且它們應該具備有彈性對狡猾的、有同樣資源和動機的對手的潛在計劃。

誠然，ML在民用和科學方面已經取得了巨大的成功。盡管民用工業技術領域與軍事技術需求有很大的內在交集，但應該注意到，后者并不是前者的完美子集。也就是說，戰爭的現實要求其技術必須為虛假信息和故意欺騙的行動、展示和通信做好準備。這兩個領域之間的這些不同假設意味著，在一個領域已經準備好的東西，在另一個領域可能還沒有準備好。在整個國防部，納入這些技術的系統正在被考慮、開發，在某些情況下已經被采用，目的是增強或取代我們一些最關鍵的國家安全能力。在軍事應用中，特別是武器系統和殺傷鏈內的系統，必須消除或至少減少對抗樣本，并對其進行補償，使故障呈現最小的風險。其余的風險必須被明確指出、發現并被作戰人員充分理解。不仔細和充分地解決這個問題是不可想象的，否則我們就有可能采用脆弱性技術，將災難性的漏洞引入我們關鍵戰爭系統。

1.4 增強防御措施

在防御基于機器學習技術的系統不受欺騙的潛在戰略背景下，我們介紹了一種防御措施。我們的前提是，ML模型對所有對抗性樣本的魯棒性與抵抗力，可以在模型分類器的分類空間數據密集區之間的數據點稀疏潛在空間中插入一個 "填充 "或 "屏障 "的方法來提高[13], [16]。我們相信，通過統計學插值或采用變分自動編碼器（VAE）[17]或生成對抗網絡（GAN）[18]來插值和投射到這個空間的模型可以創建人工填充類樣本來增加數據集，所產生的模型將能夠成功地區分合法數據點和對抗性樣本，同時保持與最先進分類方法相稱的準確性。

隨著高計算設備的發展，深度神經網絡(DNNs)近年來在人工智能(AI)領域得到了廣泛的應用。然而，之前的研究表明，DNN在經過策略性修改的樣本(稱為對抗性樣本)面前是脆弱的。這些樣本是由一些不易察覺的擾動產生的，但可以欺騙DNN做出錯誤的預測。受圖像DNNs中生成對抗性示例的流行啟發，近年來出現了針對文本應用的攻擊DNNs的研究工作。然而，現有的圖像擾動方法不能直接應用于文本，因為文本數據是離散的。在這篇文章中，我們回顧了針對這一差異的研究工作，并產生了關于DNN的電子對抗實例。我們對這些作品進行了全面的收集、選擇、總結、討論和分析，涵蓋了所有相關的信息，使文章自成一體。最后，在文獻回顧的基礎上，我們提出了進一步的討論和建議。