对抗样本（Adversarial Examples）是通过对向自然数据中添加难以察觉的噪声，导致深度神经网络对其误分类（而人类依然能够正确分类），可以使得经过良好训练的神经网络的准确率降为0，从而在医学，金融和自动驾驶等应用中导致严重的安全问题。到目前为止，对抗训练是赋予深度神经网络对抗鲁棒性最有效的方法。

10月份，智东西公开课教研团队重磅推出「对抗鲁棒性研讨会」。本次研讨会将在10月18日晚7点、10月21日晚7点各进行一场，并由日本理化学研究所张景锋博士，香港浸会大学研究助理高瑞泽、香港浸会大学在读博士朱嘉宁，新加坡国立大学在读博士严汉书、新加坡国立大学在读博士徐曦烈，以及美国威斯康辛麦迪逊分校在读博士杜学峰六位主讲人分别带来直播讲解，主讲他们在鲁棒性网络结构、对抗鲁棒性和标签噪音结合，以及利用统计假设检验检测对抗样本上的最新探索。

研讨会是智东西公开课新上线的一档课程产品，采用出品人机制运作。智东西公开课教研团队将邀请优秀的研究人员、开发者作为出品人进行研讨会的开发。作为研讨会的首个作品，「对抗鲁棒性研讨会」是由日本理化学研究所-创新智能综合研究中心(RIKEN-AIP)特别研究员张景锋以及其学术研究团队担任出品人完成开发。如果您有意向作为出品人进行研讨会的开发设计，可以与智东西公开课教研团队进行邮件（class@zhidx.com）联系。

张景锋2020年博士毕业于新加坡国立大学计算学院。他是日本2021年度战略的创造研究推进事业 ACT-X 青年基金获得者，机器学习会议ICML, ICLR, NeurIPS, AAAI, IJCAI 等评审员。张景锋博士的主要研究方向为可信赖的机器学习，长期研究目标是使人工智能对人类安全可靠。

作为本次研讨会的主要出品人，张景锋博士也会带来《基于地理几何感知的实例加权对抗训练方式》的直播讲解，分享他们所提出的一种新的对抗学习算法。

噪声标签及对抗样本都会对模型造成影响，之前的研究都将二者进行独立研究。近期的一项有关对抗训练的研究表明，成功攻击一个样本点的对抗扰动步数是能够衡量该样本点的对抗鲁棒性的有效度量。基于这一突破，香港浸会大学在读博士朱嘉宁等人发现生成对抗样本的扰动步数（PGD steps）能够作为一种新的样本选择的度量，同时也发现具有较强平滑效果的对抗训练受到噪声标签的影响会比标准训练更少，这也表明对抗训练本身能够起到一定程度的噪声标签纠正效果。本次研讨会中，朱博将围绕《深入理解对抗训练及标签噪声的交互》进行深度讲解。

新加坡国立大学在读博士严汉书等人从通道激活的角度对CNN的对抗鲁棒性进行了研究，本次研讨会也将以《利用通道重要性的特征选择提高CNN的对抗鲁棒性》为题进行讲解。通过对正常训练模型和对抗训练模型的比较，他们观察到在处理对抗性数据时，与预测负相关（NR）的通道仍然过度激活，同时AT也不能使所有类都具有相似的鲁棒性。因此他们引入了一种新的机制，即基于通道重要性的特征选择（CIFS），通过根据通道与预测的相关性为这些通道生成非负乘数来操纵通道对某些层的激活，同时在包括CIFAR10和SVHN在内的基准数据集上进行的大量实验上验证了CIFS对CNN的鲁棒性的有效性。

最大平均差异(MMD)检验原则上可以检测出两个数据集之间的任何分布差异。但过去的研究显示MMD检验不可感知对抗攻击-MMD检验不能用来检测自然数据和对抗数据之间的分布差异。 鉴于这种现象，那么自然数据和对抗数据真的来自不同的分布吗? 答案是肯定的。香港浸会大学研究助理高瑞泽等人发现并总结了过去研究中忽视的三个关键因素并对应地提出解决方式，并最终提出了一种对对抗数据拥有极高检测能力的方法—语义感知的最大平均差异Semantic-Aware MMD (SAMMD) 检验。本次研讨会中高博将讲解他们最新的《基于语义感知最大平均差异 (SAMMD) 检验的对抗数据检测》。

基于极小极大优化的对抗训练是增强模型对抗鲁棒性一种比较流行的机器学习方式，而噪声标签通常会破坏学习并且损害模型的性能。新加坡国立大学在读博士徐曦烈等人则提出了一个有趣的问题：噪声标签总是会损害对抗训练吗？针对词问题徐博等人提出了一种“NoiLIn”算法，它可以在对抗训练过程中逐渐增加噪声标签的注入比例。根据经验性的实验结果，NoiLIn 否定地回答了前面的问题——注入噪声标签确实可以增强对抗鲁棒性。也就是说：噪声标签不应该总是被认为是有害的，即使在训练集中没有标签噪声的情况下，我们也可以考虑故意地注入它。

在标准的对抗训练中，经典的网络结构是通常比搜索得到的网络结构表现差的，这样的趋势在对抗训练中应该是一样的。而美国威斯康辛麦迪逊分校在读博士杜学峰等人认为网络结构和训练的方式，即对抗训练AT，不能独立处理，由于给定一个数据集，标准训练ST中的表现最佳的网络结构在对抗训练中不一定是最优的。因此他们提出一个多样化的网络结构（DS-Net），以显著减少搜索空间的大小。相比于细粒度搜索空间里的网络前向传播操作，杜博等人只考虑预定义的原子模块的设计，其中原子模块是像残差块（residual block）一样经过时间考验的网络结构，最终的实验结果也证明了 DS-Net 的优势，即对原子模块进行加权。

本次研讨会包含主讲和问答两个部分，其中主讲环节60分钟，将在智东西公开课直播间进行；问答环节30分钟，将在主讲群通过文字或语音的形式进行。

主讲人介绍

张景锋，日本理化学研究所-创新智能综合研究中心(RIKEN-AIP)的特别研究员；2020年博士毕业于新加坡国立大学计算学院；日本2021年度战略的创造研究推进事业 ACT-X 青年基金获得者；机器学习会议ICML, ICLR, NeurIPS, AAAI, IJCAI 等评审员；主要研究主攻方向为可信赖的机器学习，长期研究目标是使人工智能对人类安全可靠。

朱嘉宁，香港浸会大学在读博士，重点关注的研究领域为神经网络的对抗鲁棒性，指导老师为香港浸会大学助理教授韩波博士和日本理化研究所研究员张景锋博士。

严汉书，新加坡国立大学在读博士，导师为Vincent Y. F. Tan和Jiashi Feng教授，其主要研究方向包括Machine Learning Robustness 和 Neural ODE，致力于开发可信赖且高效的机器学习算法，成果发表于ICLR，ICML，Analytical Chemistry等国际会议与期刊。个人主页：https://hanshuyan.github.io

高瑞泽，香港浸会大学计算机科学系可信赖机器学习研究组研究助理，香港中文大学计算机科学与工程系研究助理；主要研究方向为可信赖机器学习，包括面向神经网络鲁棒性的对抗攻击与防御等；担任NeurIPS, ICML, ICLR等机器学习顶级会议审稿人。

徐曦烈，新加坡国立大学计算机学院的在读博士；2021年本科毕业于山东大学泰山学堂，主要研究方向是对抗机器学习。

杜学峰，美国威斯康辛麦迪逊分校计算机系在读博士，主要研究方向为可信赖机器学习和计算机视觉，包括神经网络对抗鲁棒性，异常数据分布检测和泛化，神经结构搜索和物体检测分割等任务；担任过MICCAI, ICML, ICLR, NeurIPS的审稿人。