IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 人工智能 -> 论文研读1——对抗样本(Adversarial Example)综述(2018版) -> 正文阅读

[人工智能]论文研读1——对抗样本(Adversarial Example)综述(2018版)

论文地址:Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey

部分内容参考科研篇二:对抗样本(Adversarial Example)综述
机器之心的总结也很好综述论文:对抗攻击的12种攻击方法和15种防御方法

一、主要内容

肯定了深度学习在计算机视觉等领域的贡献,但深度学习模型很容易受到低对抗攻击,本文对对抗性攻击进行了全面调查和总结,包括针对图像分类等任务的对抗性攻击及其方法,以及介绍了在现实世界条件中处理对抗性攻击的方法。同时对如何防御这些攻击也做出了总结和回答。

二、术语定义

  • 对抗性样本/图像(Adversarial example/image):是一个干净的图像被故意干扰(例如,通过添加噪声)来混淆/欺骗一个机器学习(例如深度神经网络)的修改版本
  • 对抗性扰动(Adversarial perturbation):添加到干净图像中的噪声,使其成为一个对抗性样本
  • 对抗性训练(Adversarial training*):除了使用原始的干净图像之外,还使用对抗性样本/图像来训练模型
  • 对抗方(Adversary):指产生对抗样本的代理(agent),有时候也把对抗样本本身称作对抗方
  • 黑盒攻击(Black-box attacks):对抗样本是在不知道该模型的情况下生成的。在某些情况下,假设对抗方对模型的了解有限(例如,它的训练过程/或其体系结构),但肯定不知道模型的参数。在其他情况下,使用有关目标模型的任何信息都被称为“半黑盒”攻击。
  • 探测器(Detector):一种(仅限)检测一个图像是否是对抗样本的机制
  • 愚弄率(Fooling ratio/rate):一个被训练过的模型在图片被干扰之后改变其原本预测的类别的比例。
  • 一次性/一步式/单步方法(One-shot/One-step methods):通过执行单步计算来产生对抗性扰动,例如计算一次模型损失(loss)的梯度。与之对应的是迭代方法,该方法多次执行相同的计算来获得一个单一的扰动,后者计算成本通常很高
  • 外观不可感知的/难以察觉的(Quasi-imperceptible):对抗样本引入的干扰可以微小到不被人类感知
  • 修正器(Rectifier):对对抗样本进行修正,使其在目标模型上的预测结果与原始干净样本的结果一致。
  • 有目标攻击(Targeted attacks):让模型将对抗样本错误地分成某种特定的类别。与之对应的是无目标攻击,后者目的相对简单,它只追求让模型预测错误,并不具体到某一具体类别。
  • 威胁模型(Threat model):指被一种方法所考虑到的潜在的攻击,如黑盒攻击
  • 迁移性(Transferability):对抗样本即便在攻击其他模型(指不是用来生成该对抗样本的模型)时仍能保持其有效性的一种特性。
  • 通用干扰(Universal perturbation):能够在任意图片上愚弄到模型。通用性指的是干扰在对图像没有任何知识的情况下的性质,与之前提到的迁移性不一样。
  • 白盒攻击(White-box attacks):假设了目标模型的完整知识,包括其参数值,架构,训练方法,以及在某些情况下它的训练数据。

三、对抗攻击

主要内容:回顾主要在“实验室设置”中欺骗深度神经网络的对抗性攻击方法,按照时间顺序组织,介绍了流行方法的技术细节以及该领域新兴方向的一些代表性技术。主要分为两部分,一是攻击深度神经网络执行计算机视觉中最常见的任务的方法,即分类/识别,二是主要用于攻击此任务之外的深度学习方法

3.1 分类攻击

Box-constrained L-BFGS(盒约束的L-BFGS)

在这里插入图片描述

Fast Gradient Sign Method (FGSM)(快速梯度符号法)

三个团队的工作: Goodfellow等人,Kurakin等人,Miyato等人。总的来说,所有的这些方法都被视作“one-step”或者“one-shot”方法。

在这里插入图片描述

Basic & Least-Likely-Class Iterative Methods(BIM法)-基本迭代方法

"one-step"方法通过在增加分类器损失的方向上采取一个大的步骤(即一步梯度上升)来扰动图像。该想法的直观扩展是在调整每一步后的方向时迭代地采取多个小步骤,相当于∞版本的投影梯度下降(PGD),一种标准的凸优化方法

Jacobian-based Saliency Map Attack (JSMA) 基于雅可比矩阵的显著性映射攻击

该方法通过限制扰动的0-范数来创建对抗性攻击(大多采用∞范数或2范数),只需要修改图像中的几个像素,而不是干扰整个图像来欺骗分类器。该算法一次修改一个干净图像的像素,并监测该变化对结果分类的影响

Carlini and Wagner Attacks (C&W)

Carlini和Wagner在蒸馏防御之后提出了三种对抗攻击方法。他们的工作表明:针对目标网络的防御蒸馏几乎完全无法对抗这些攻击。同时还表明使用不安全(未蒸馏)网络生成的对抗性例子可以很好地转移到安全(蒸馏)网络中,从而让计算出的扰动适用于黑盒攻击。
此外,论文中还提到了其他攻击方法,如 One Pixel AttackUPSET and ANGRIHoudiniAdversarial Transformation Networks (ATNs)Miscellaneous Attacks

涉及到的方法总结如下:
在这里插入图片描述

3.2在其他方面的攻击

Attacks on Autoencoders and Generative Models(编码方面), Attacks on Deep Reinforcement Learning(强化学习方面),Attacks on Semantic Segmentation and Object Detection(语义分割和对象检测方面)

四、现实世界中的攻击

如面部属性攻击,手机摄像头攻击,道路标志攻击,3D对象攻击(更侧重真实世界中的物体)

五、关于普遍扰动的存在问题

Moosavi-Dezfooli等人最初认为,普遍的对抗性扰动利用了由分类器诱导的决策边界之间的几何相关性,它们的存在部分归功于一个包含了决策边界的法线的子空间,它们证实了存在共同的方向(跨数据点共享),沿着该放下,分类器的决策边界可以高度正弯曲。此外,Fawzi等人以及Tramer等人也认为,在数据点附近的决策边界的曲率与分类器等模型在面对攻击时的脆弱性有关。这也引发了后来GAN模型的出现。

六、 对抗防御

现在的对抗防御方法大致分为以下三类
在这里插入图片描述

对抗防御方法方法描述方法思路
Modified training/input 修改训练/输入在学习过程中,使用修改后的训练;或在测试过程中使用修改后的输入通过对输入数据或训练进行处理来对抗扰动
Modified networks 修改网络修改网络,如通过添加更多的layers或sub-networks;改变loss函数或activation函数(损失或激活函数)从造成网络脆弱性的原因出发,如惩罚损失函数等
Network add-on 增加附加网络在对不可见的样本进行分类时,使用外部模型作为附加网络添加“预输入”层等方法来检测扰动并修正输入或使用GAN思路

总结:第一个方法没有直接处理学习模型。另一方面,另外两个分类是更加关心神经网络本身的。这些方法可以被进一步细分为两种类型:(a) 完全防御;(b) 仅探测 (detection only)。完全防御方法的目标是让网络讲对抗样本识别为正确的类别。另一方面,仅探测方法意味着在对抗样本上发出报警以拒绝任何进一步的处理。

对于后两种还有两个分类

类别描述
Complete defence使得网络能够提升对对抗样本的鲁棒性
Detection only发现潜在的对抗样本输入,进而拒绝对该样本做后续的处理

七、总结

在这里插入图片描述
内部的max问题简单来讲就是添加的扰动要尽量让网络迷惑。外部的min是对神经网络进行优化最小化公式,即当扰动固定的情况下,训练的网络模型可以使得在训练数据上的损失最小,即提高模型的鲁棒性。

  人工智能 最新文章
2022吴恩达机器学习课程——第二课(神经网
第十五章 规则学习
FixMatch: Simplifying Semi-Supervised Le
数据挖掘Java——Kmeans算法的实现
大脑皮层的分割方法
【翻译】GPT-3是如何工作的
论文笔记:TEACHTEXT: CrossModal Generaliz
python从零学(六)
详解Python 3.x 导入(import)
【答读者问27】backtrader不支持最新版本的
上一篇文章      下一篇文章      查看所有文章
加:2022-11-05 00:28:48  更:2022-11-05 00:32:04 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 20:29:12-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码