Adversarial Robustness of Deep State Space Models for Forecasting

📄 arXiv: 2604.03427 📥 PDF

作者: Sribalaji C. Anand, George J. Pappas

分类: cs.LG, eess.SY

发布日期: 2026-04-07

💡 一句话要点

针对时序预测,提出对抗鲁棒的深度状态空间模型,提升模型在恶意扰动下的预测精度。

🎯 匹配领域: 支柱二:RL算法与架构 (RL & Architecture)

关键词: 时间序列预测 状态空间模型 对抗鲁棒性 对抗训练 Stackelberg博弈

📋 核心要点

  1. 现有时间序列预测的状态空间模型缺乏对抗扰动下的鲁棒性分析,容易受到恶意攻击。
  2. 将鲁棒预测器设计建模为Stackelberg博弈,通过对抗训练提升模型在最坏情况下的预测精度。
  3. 实验表明,即使是无梯度攻击也能显著降低预测精度,凸显了模型鲁棒性研究的重要性。

📝 摘要(中文)

状态空间模型(SSM)在时间序列预测任务上表现出色,但其在对抗扰动下的鲁棒性研究不足。本文从控制理论角度出发,重点研究了最近提出的Spacetime SSM预测器,填补了这一空白。首先,证明了decoder-only的Spacetime架构能够表示最优卡尔曼预测器(当底层数据生成过程是自回归时),这是其他SSM不具备的特性。在此基础上,将鲁棒预测器的设计建模为针对最坏情况隐蔽攻击者的Stackelberg博弈,并通过对抗训练解决。推导了对抗预测误差的闭式界限,揭示了开环不稳定、闭环不稳定和解码器状态维度如何放大脆弱性,从而为鲁棒预测器设计提供了可操作的原则。最后,表明即使是无法访问预测器的攻击者,也可以通过利用模型的局部线性输入-输出行为来构建有效的攻击,完全绕过梯度计算。在Monash基准数据集上的实验表明,无需任何梯度计算的模型无关攻击,比使用小步长的投影梯度下降造成的误差至少高出33%。

🔬 方法详解

问题定义:论文旨在解决深度状态空间模型(SSM)在时间序列预测中,面对对抗性扰动时鲁棒性不足的问题。现有的SSM模型在面对恶意攻击时,预测精度会显著下降,这限制了它们在安全敏感领域的应用。

核心思路:论文的核心思路是将鲁棒预测器的设计建模为一个Stackelberg博弈,其中预测器是领导者,而对抗攻击者是跟随者。通过对抗训练,使预测器能够抵抗最坏情况下的隐蔽攻击。此外,论文还分析了模型的不稳定性和状态维度对鲁棒性的影响,并提出了相应的设计原则。

技术框架:整体框架包括以下几个主要模块:1) Spacetime SSM预测器:作为基础预测模型。2) 对抗攻击模型:模拟最坏情况下的隐蔽攻击者,目标是最大化预测误差。3) 对抗训练过程:通过最小化对抗攻击下的预测误差,提升模型的鲁棒性。4) 鲁棒性分析:推导对抗预测误差的闭式界限,分析模型参数对鲁棒性的影响。

关键创新:论文最重要的技术创新在于:1) 证明了decoder-only的Spacetime架构能够表示最优卡尔曼预测器,这为鲁棒性分析提供了理论基础。2) 将鲁棒预测器设计建模为Stackelberg博弈,并提出了相应的对抗训练方法。3) 揭示了开环不稳定、闭环不稳定和解码器状态维度如何影响模型的鲁棒性。

关键设计:论文的关键设计包括:1) 对抗攻击模型的构建,需要考虑攻击的隐蔽性和预算约束。2) 对抗训练的损失函数,需要平衡预测精度和鲁棒性。3) Spacetime SSM预测器的参数选择,需要考虑模型的不稳定性和状态维度。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,即使是无需梯度计算的模型无关攻击,也能使预测误差比使用小步长的投影梯度下降高出至少33%。这突显了现有模型在对抗攻击下的脆弱性,并验证了论文提出的对抗训练方法在提升模型鲁棒性方面的有效性。该结果表明,在实际应用中,需要更加重视时间序列预测模型的安全性。

🎯 应用场景

该研究成果可应用于金融市场预测、智能交通系统、工业控制等对安全性要求较高的领域。通过提高时间序列预测模型在对抗环境下的鲁棒性,可以有效防止恶意攻击导致的系统故障或经济损失,保障系统的稳定运行和决策的可靠性。未来,该方法可以进一步扩展到其他类型的预测模型和对抗攻击场景。

📄 摘要(原文)

State-space model (SSM) for time-series forecasting have demonstrated strong empirical performance on benchmark datasets, yet their robustness under adversarial perturbations is poorly understood. We address this gap through a control-theoretic lens, focusing on the recently proposed Spacetime SSM forecaster. We first establish that the decoder-only Spacetime architecture can represent the optimal Kalman predictor when the underlying data-generating process is autoregressive - a property no other SSM possesses. Building on this, we formulate robust forecaster design as a Stackelberg game against worst-case stealthy adversaries constrained by a detection budget, and solve it via adversarial training. We derive closed-form bounds on adversarial forecasting error that expose how open-loop instability, closed-loop instability, and decoder state dimension each amplify vulnerability - offering actionable principles towards robust forecaster design. Finally, we show that even adversaries with no access to the forecaster can nonetheless construct effective attacks by exploiting the model's locally linear input-output behavior, bypassing gradient computations entirely. Experiments on the Monash benchmark datasets highlight that model-free attacks, without any gradient computation, can cause at least 33% more error than projected gradient descent with a small step size.