李宏毅老师课程:Attack ML Models

最新推荐文章于 2021-07-17 23:06:22 发布
最新推荐文章于 2021-07-17 23:06:22 发布
阅读量317 收藏
点赞数
分类专栏: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/APythonC/article/details/108150008
版权

攻击机器学习模型

Motivation

在这里插入图片描述

What do we want to do?

attack要做的事就是把找到原图片 x 0 x^0 x0对应的 x ′ x' x
在这里插入图片描述

Loss Function for Attack

Training:network训练得出的结果 y 0 y^0 y0必须和 y t r u e y^{true} ytrue越接近越好,此时的loss function如图所示,输入的 x x x是固定的,需要不断调整 θ \theta θ的值,使得 L L L取得最小值;

Non-targeted Attack:如果我们需要attack一个network,此时network的输出 y ′ y' y y t r u e y^{true} ytrue应该越大越好,此时的loss function如图所示,前面多了一个负号。此时的network中的参数 θ \theta θ是固定的,需要不断调整输入 x x x,使network的输出 y ′ y' y y t r u e y^{true} ytrue的差距尽量远;

Targeted Attack:如果我们不仅想要 y ′ y' y y t r u e y^{true} ytrue之间的距离尽量远,还想使 y ′ y' y y f a l s e y^{false} yfalse之间的距离尽量近,就需要使用targeted attack;此时的loss function如图所示
在这里插入图片描述
不仅需要限制输出之间的差异,还需要限制输入 x 0 x^0 x0, x ′ x' x之间的差异,只有这输入之间的差异d小于 ϵ \epsilon ϵ,我们才可以认为 x 0 x^0 x0是与 x ′ x' x相似的,才达到了attack 一个network的目的,即使输入尽可能具有迷惑性,从而使网络输出错误的结果

Constraint

那么我们怎么计算d呢?

有以下两种主要的方法:

  • L2-norm,为 x 0 x^0 x0, x ′ x' x之间每个像素差异的平方和;
  • L-infinity,为 x 0 x^0 x0, x ′ x' x之间每个像素差异的最大值

如果我们改变图中的每个pixel,另外一幅图只改变其中一个pixel,使得这两者之间的L2-norm是一样的,但第二种方式得出的L-infinity更大
在这里插入图片描述

How to Attack

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Example

如果我们现在要attack一个network,其真实类别为Tiger cat,但attack之后的network认为这是star fish
在这里插入图片描述
由于这两者之间的差异很小,很难识别,这里我们将差值x50来进行展示
在这里插入图片描述
可能猫和猫之间是比较类似的,这里我们将attack的target设置为keyboard,该network认为这是keyboard的概率为0.98
在这里插入图片描述
如果我们再对图片加入噪声,network认为这是Persian cat,再继续加入噪声,我们都快分辨不出这张图是一只猫了,network就认为这是fire screen
在这里插入图片描述
我们假设 x 0 x^0 x0是在高维平面上的一个点,沿着任意方向随机移动,我们可以看到在接近 x 0 x^0 x0的时候,是 tiger cat(正确分类)的可能性是很高的,但如果再移动多一点,是Persian cat和Egyptian cat的可能性是很高的

上述说的是随机方向进行移动,如果图片是225*225pixel的,那么就是5万多个高维的方向,现在我们选取其中几个特定的方向。在这几个特定的方向中, x 0 x^0 x0可变化的范围就变得非常狭窄, x 0 x^0 x0稍微变化一下,network输出为另一个类别(key board)的可能性就很高
在这里插入图片描述

Attack Approaches

虽然有很多方法都可以用来attack network,但这些方法的主要区别在于使用了不同的constrains,或者使用了不同的optimization methods
在这里插入图片描述

White Box v.s. Black Box

在之前的attack中,我们假设已经知道了network的参数 θ \theta θ,目标是找到最优化的 x ′ x' x,这种attack就称为White Box

但在大多数的情况中,我们都不知道network的参数,但也需要去attack这个network,这就是Black Box

Black Box Attack

如果我们现在已经知道了black network的training data,那么我们就可以用同样的training data来训练一个proxy network,再生成attacked object,如果能过成功attack新的proxy network,那么我们就可以把这个object也作为black network的输入,也可以attack成功

如果不能得到相应的training data,network如果是一个在线版本,我们可以输入大量的图片,得出相对应的分类结果,从而可以组合成相对应的训练资料,来得出proxy network
在这里插入图片描述
也有一些实验数据证明黑箱攻击是有可能成功的

Attack in the Real World

在这里插入图片描述
在这里插入图片描述

Defense

在这里插入图片描述
本文图片来自李宏毅老师课程PPT,文字是对李宏毅老师上课内容的笔记或者原话复述,在此感谢李宏毅老师的教导。

APythonC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6——Attack ML Models
weixin_41937876的博客
08-02 558
6——Attack ML Models 今天主要学完了Attack ML Models部分,攻防。 这张图概括的很好 训练时是用固定data去生成Network,Network是会变化的,找到一个较好的Network,而Attack有点类似于测试,固定Network结构,用和trainging data相类似的image去让model判断出错误的结果,越离谱越好。 所以我们可以反其道而行之,计算...
2021李宏毅机器学习笔记--12 attack ML models
guoxinxin0605的博客
06-26 311
2021李宏毅机器学习笔记--12 attack ML models摘要一、图像模型的攻击1.1原理1.2Constraint1.3参数训练1.4一个例子1.5攻击方法1.5.1FGSM(Fast Gradient Sign Method)1.6黑盒攻击1.7拓展研究1.7.1普遍对抗攻击(Universal Adversarial Attack)1.7.2对抗性重新编程(Adversarial Reprogramming)1.8真实世界的攻击二、声音模型的攻击三、defense3.1被动防御3.1.1fe
WDK李宏毅机器学习第五周01_Attack ML models
sunningzhzh的博客
05-16 185
文章目录摘要一、Attack and Defense1.1 Motivation1.2 Attack是怎样的1.3 Loss Function for Attack1.4 How to Attack1.5 What happened?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何..
机器学习-26-Attack ML Model and Defense(模型攻防)
迷雾总会解
12-20 1196
神经网络不仅是要用在研究上,最后更多的肯定要在各种有意义的应用中。因此model仅仅是对杂讯(噪声)robust和大部分时间work是不够的,还要去对抗恶意攻击(注意,这里不是说仅仅是对抗杂讯,而是所谓的,不暴露出弱点)。即使是垃圾邮件识别,人脸识别这种最基础广泛的领域,也存在着大量的攻击对抗。因此,对这方面的研究是十分重要的。
2020李宏毅机器学习笔记-Attack ML Models
zn961018的博客
05-30 602
概述 本节课将讲Attack与Defense,其中攻击占了大部分,最后是有关防御Defense的部分。可分为被动防御Passive defense与主动防御Proactive defense。
李宏毅老师语音识别课程
09-12
李宏毅老师语音识别课程】是一门深入探讨语音识别技术的专业课程,由知名的计算机科学家李宏毅教授主讲。这门课程旨在帮助学生和专业人士理解并掌握语音识别的基础理论和实际应用。在B站(哔哩哔哩)上可以找到...
李宏毅2021课程资源
最新发布
01-30
李宏毅2021课程资源》是一个包含丰富的学习材料的压缩包,主要针对的是IT领域的知识教学。李宏毅先生,作为一个知名的IT讲师,以其深入浅出的教学风格和丰富的实践经验深受学员喜爱。这个2021年的课程资源旨在帮助...
李宏毅老师2021深度学习课程笔记.pdf
10-08
2021春季李宏毅老师深度学习课程笔记(神经网络训练不起来处理方法+分类的数学原理)
李宏毅 2020 ML Homework 1: Linear Regression-数据集
03-25
在这个“李宏毅2020 ML Homework 1: Linear Regression-数据集”中,我们关注的是一个回归问题,特别是针对PM2.5(细颗粒物)浓度的预测。PM2.5是指大气中直径小于或等于2.5微米的颗粒物,对人体健康和环境有显著...
李宏毅ML作业3: 食物分类(kaggle预测与报告题目)
07-12
李宏毅ML作业3: 食物分类, kaggle预测与报告题目实作源码, 配合博客阅读: https://blog.csdn.net/lagoon_lala/article/details/118425354
李宏毅【课件PPT】
12-07
此压缩包包含李宏毅老师的机器学习所有课件,都是在李宏毅老师个人主页下载整理的,建议配合B站李宏毅老师的Machine Learning 视频一块使用,里面的公式最好推导一下,效果更佳!
李宏毅】机器学习 笔记12(Attack ML Models
Mr_Kingk的博客
08-09 244
Attack: 通过在原来的特征值上加上一些杂讯,让network做出错误的判断。 定义attack的lossfunction: 找到一个与x0很接近的一个x',在x和theta固定的情况下,使输出的答案越错误。 两类constraint: 加了gradient算出的杂讯效果最明显: FGSM: 采用最快的梯度,一次梯度下降得到结果: 主要就是设置一个很大的learningrate使一次达到目的: 黑箱攻击: 通过trainin...
李宏毅ML+DL学习记录:attack ML model
weixin_41391619的博客
02-27 442
attack和defense两方面进行记录,但是主要是attack 一.attack 1.目标:找到x’        假设我们已经训练好了一个猫分类器(要么是猫,要么不是猫),如果将一张猫的照片(即下图中的original image,设为x0)放到这个分类器中,它基本上会已很大的概率判断出这是一只猫(我们假设这个分类器的效果是比较好的)。 &nbsp...
深度学习(9): Attack ML models & Adversarial attack
JJJJJJames的博客
01-18 572
Attack and Defense 需要classifiers 不只要对噪声的抗干扰性强,还要对那些为了骗过classifier而建立的输入也有很强的抗性。 especially useful for spam classification, malware(恶意软件) detection, network intrusion(网络入侵) detection, etc 1、Attack 1.1 what do we want to do? 在图片的样本点上加入一些杂讯△x\triangle x△x,原
李宏毅2020ML——P33-40 Attack ML models
weixin_44177594的博客
03-17 125
attack and defenseattackintroduce思想FGSMblack box attackdefenseintroduce被动防御主动防御 attack introduce 为什么会有攻击ML的出现呢? 我们要去攻击一个ML,我们需要可以做到什么样子的事情呢? 下图是一个图像识别的model,我们希望在原图片上面加上一些杂讯,经过同样的NN后,会得到完全不一样的结果。 那我们如何去找到那个很特殊的杂讯呢? 对于限制的条件,距离的计算有两种方法 思想 那么我们如何去攻击呢? 我们的
李宏毅——对抗模型 attack and defence
shaoyue1234的专栏
09-19 1103
李宏毅——对抗模型 attack and defencemotivationattack例子如何找出特制的噪声限制how to Attack实例方法FGSM(Fast Gradient Sign Method)白盒和黑盒黑盒攻击 motivation 想在脱离实验室,实际环境中使用 在 强:要对噪音robust 对付来自人类的恶意:要对恶意的骗过机器的数据robust 侦测带有恶意的东西:垃圾邮件...
李宏毅机器学习笔记——14. Attack ML Models and Defense(机器学习模型的攻击与防御)
weixin_44790306的博客
07-17 1082
摘要: 文章目录1. Attack (模型攻击)基本思想2. Defense(模型防御) 1. Attack (模型攻击) 对图像模型进行攻击 基本思想 2. Defense(模型防御)
[李宏毅-机器学习]ML攻击与防御 Attack ML model
炼丹师
02-22 695
Attack white box 已经拥有模型 只更新一次便得到最终的结果 black box 不知道模型 defense 对需要识别的图片使用filter做处理
2020李宏毅学习笔记——32.Attack ML Models(6_8)
weixin_44554337的博客
06-24 227
上一个攻击需要network的参数,才能只能GD,才能找到X‘,这是白像攻击,因为我们需要知道模型参数: 那么我们如果保护好模型的参数,是否就会安全? 事实并不是这样子,那怎么办呢,还可以做黑盒攻击 1.黑箱攻击:不知道最后的架构是什么样 黑箱攻击,要攻击黑箱network,自己训练一个proxy network,训练他产生attacked object,在用这个去攻击black network。 2.攻击步骤: 1、现在有一个我们不知道参数的黑盒模型(深蓝色); 2、我们用训练黑盒模型的训练数据自己训练
李宏毅2021机器学习课程:Transformer深入解析
李宏毅老师的2021年机器学习课程讲义主要讲解了Transformer模型,这是深度学习领域中用于序列到序列(Seq2seq)任务的重要架构,如机器翻译、语音识别和语言生成等。课程还提到了BERT模型以及在处理语音识别和翻译...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值