[论文笔记]Universal adversarial perturbations(CVPR 2017)

最新推荐文章于 2023-11-20 17:00:36 发布
最新推荐文章于 2023-11-20 17:00:36 发布
阅读量3.7k 收藏 24
点赞数 23
分类专栏: 深度学习/机器学习 文章标签: 对抗攻击 CVPR universal attack Pytorch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Invokar/article/details/99574958
版权

Universal adversarial perturbations(CVPR 2017)

啦啦啦,为了方便大家食用代码,我还改写了pytorch版本供大家学习,如果大家觉得有帮助记得帮我点个star哦!嘻嘻。

  • 文章简介:
    本文主要是介绍了一种universal的扰动,能让大部分图片加入该噪声后就能被误分类,扰乱一个新的数据点只需要向图像添加一个普遍的扰动(不需要解决优化问题/梯度计算)。其示意图如下
  • Norm:
    • 2-范数: ξ = 2000 \xi=2000 ξ=2000
    • 无穷范数: ξ = 10 \xi=10 ξ=10

  结果如下:其中的Val.是不参与universal扰动的计算的,可以看到性能相当好

  • Contribution:

    • 证明了state-of-the-art模型中存在universal image-agnostic扰动
    • 提出了一种寻找universal扰动的算法
    • 发现universal扰动有一定的泛化能力:只用一个非常小的training points就能愚弄一张新图像
    • 我们证明这种扰动不仅在图像上是普遍存在的,而且在深度神经网络上也能很好地推广。因此,这种扰动在数据和网络体系结构方面具有双重普遍性。
    • 通过研究决策边界不同部分之间的几何相关性,解释和分析了深度神经网络对普遍扰动的高脆弱性。

  • 目标函数

  其中 μ \mu μ是图像的分布, v v v是我们要加的universal扰动

  更详细地说,如果当前的 v v v不足够扰动 x i x_i xi,就会再去寻找一个 Δ v \Delta v Δv,其要解决的优化问题为

  为了满足 ∣ ∣ v ∣ ∣ p ≤ ξ ||v||_p \leq \xi vpξ约束,作者将 v + Δ v i v+\Delta v_i v+Δvi投影到一个半径为 ξ \xi ξ l p \mathcal{l}_p lpball上,具体为:

  下面该式返回的是 v ′ v' v, 其实简单地说,其实就是用一个个半径为 ξ \xi ξ l p \mathcal{l}_p lpball去尽量接近 v v v。[注意这个ball不是圆形球的意思]

  有趣的是,在实际操作中, X X X中数据点 m m m的数量并不需要很大就足够一个对整个分布 u u u有效的普遍扰动。最终算法为:

  需要进一步注意的是,算法1的目标并不是找出欺骗分布中大多数采样数据点的最小的universal扰动,而是找到一个范数足够小的universal扰动。
  • Universal扰动
    • 同一网络的不同初始化得到的扰动结果不唯一,虽然有点相似
    • 不同网络得到的扰动结果也不一样

  • The size of training set:

    • 如果用于计算扰动的训练集只有500张图,则可以成功攻击验证集中30%的图片
    • 如果用于计算扰动的训练集有1000张图,则可以攻击在验证集中更多的未见过的图片,甚至在这1000张图中都没有出现过那个类别的图片

  • Cross-model universality:

  证明了本文提出的universal扰动是doubly-universal

  • Adversarial trainning robust
    作者将VGG-F模型进行fine-tune,即原训练集有50%的概率被加上universal扰动,然后训练了5个epoch。训练完后,再用Algorithm 1在fine-tune后的模型上计算universal扰动,结果在验证集上的成功率从93.7%到了76.2%。为了试验多次fine-tune的用处,作者又重复了上面这个流程,从10个另外的扰动继续进行fine-tune,但是后面再进行攻击时,成功率差不多还有80%,所以有一个结论: 简单地处理无法对small universal扰动形成一定的免疫能力

  • 奇异值:
    奇异值的通俗理解(转自知乎):奇异值往往对应着矩阵中隐含的重要信息,且重要性和奇异值大小正相关。每个矩阵A都可以表示为一系列秩为1的“小矩阵”之和,而奇异值则衡量了这些“小矩阵”对于A的权重。

    作者计算了N矩阵与随机矩阵的奇异值:

  结果如下:

  对这个图我是这么理解的:Index表示的是奇异值的排序位数,理所因当,第1个特征值最大,后面递减。可以发现的是,在曲线的开始阶段,奇异值的变化幅度特别大,到了后面,曲线变得平稳。这就说明对于深度网络而言,他的决策边界存在一定的相关性和冗余性。

  • Hypothesize:
    • 存在一个低维子空间 S \mathcal{S} S包含自然图像周围区域中到决策边界的大部分法向量。

  为了验证这个假设,作者选取了前100个特征向量所张成的子空间 S \mathcal{S} S,然后从中选择随机向量( ξ = 2000 \xi = 2000 ξ=2000),发现居然能够攻击38%的图片,从而验证了假设(因为原始空间生成的随机扰动只能攻击10%的图片)

如果觉得我有地方讲的不好的或者有错误的欢迎给我留言,谢谢大家阅读(点个赞*我可是会很开心的哦)~

大鲨鱼冲鸭
关注
  • 23
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通用对抗扰动——Universal adversarial perturbations
weixin_48654804的博客
10-19 5025
Universal adversarial perturbations 来自CVPR2017的一篇论文。引用量也上千了。 https://openaccess.thecvf.com/content_cvpr_2017/html/Moosavi-Dezfooli_Universal_Adversarial_Perturbations_CVPR_2017_paper.html 概述 对抗样本,众所周知,其目的就是在图像中添加一个扰动,使得图像在推理环节中给出错误的输出。也就是: f(x+δ)≠f(x)f(x+\
Universal adversarial perturbations》总结笔记
孤山的都灵族如果不会打铁怎么办
03-15 484
扰动方法概括:本文提出的算法要求的是将同分布的一批训练样本推出决策边界的最小扰动向量。 如图所示,算法通过迭代依次求出每个训练样本的推出扰动向量 算法讲解: 如上图伪码,首先X取自同一分布的训练样本,是预测标签,当通用扰动添加到X中所有样本上时,错误率达到阈值,结束while循环。 while循环内,对X中每一个样本,如果之前已经生成的通用扰动添加到该样本上时,网络仍然正确分类,则把已经生成的通用扰动向量基础上再“放大一些”,使得对而言,能被分类错误。最后将更新为最新生成的通用扰动,其实就是
【迁移攻击笔记】图像&模型同时迁移2017Universal adversarial perturbations
weixin_43916250的博客
11-25 439
核心思想: 这篇17年的文章核心思想很简单: 初始化v=0没有扰动,然后对于每个样本加上扰动v后: 分类错误,则下一个样本; 分类正确,寻找一个微小的扰动 ,使得分类错误。 不断重复,直到在这样本中错误样本满足错误率。 所以可以理解成最原始最暴力的迁移攻击方法。然而最原始最暴力的方法往往也是最泛用的,所以对全数据集全网络都能通用。 算法和示意图如下: 图像迁移和网络迁移结果如下: 数学解释: 首...
Universal adversarial perturbations
MTandHJ的博客
06-03 821
文章目录概主要内容算法 Moosavidezfooli S, Fawzi A, Fawzi O, et al. Universal Adversarial Perturbations[C]. computer vision and pattern recognition, 2017: 86-94. @article{moosavidezfooli2017universal, title={Universal Adversarial Perturbations}, author={Moosavidezfo
[paper]Universal adversarial perturbations
weixin_43150428的博客
05-13 325
本文提出了计算自然图像中普遍扰动的算法,在神经网络上具有很好的泛化性,并且揭示了模型在高维空间中决策边界的几何联系。并且说明了在输入空间中存在单个方向的潜在安全漏洞,攻击者可能会利用这些漏洞造成模型对大多数自然图像分类错误。 universal 算法: μ\muμ是图像分布 vvv是universal扰动 k^\hat{k}k^是模型 universal扰动vvv需要满足两个条件: ξξξ表示控制扰动vvv的幅度大小 δδδ表示对于所有自然图像(满足图像分布服从μ\muμ)的期望扰动成功率 假如当前的v
对抗机器学习——Universal adversarial perturbations
jmhIcoding
10-11 1956
代码地址: https://github.com/LTS4/universal 核心思想: 本文提出一种 universal对抗扰动,universal是指同一个扰动加入到不同的图片中,能够使图片被分类模型误分类,而不管图片到底是什么。示意图: 在这里插入图片描述 形式化的定义: 对于d维数据分布 μ,里面的每一个样本x∈R^d~μ,存在一个分类器k(x)→[1…k]。v是一个扰动,v满足: 同...
论文快读】Universal adversarial perturbations(2017
玄云飘风的博客
05-25 5778
连接: 作者:Seyed-Mohsen Moosavi-Dezfooli,Alhussein Fawzi,Omar Fawzi,Pascal Frossard 摘要: 对于任意给定的高效DNN分类器,作者都能为输入图片施加一个扰动,使得分类器以较大概率分类错误,从而实现对于dCNN的攻击。这个“扰动”有两个特点:1.universal,即扰动与输入图片无关,仅与模型本身相关。2.very...
论文分享(一) CVPR 2018 Defense against Universal Adversarial Perturbations
xunbaobao123的博客
11-12 1131
论文链接:https://arxiv.org/abs/1711.05929 前言 进入研究生阶段的学习已经一年多了,在此期间阅读了不少论文,也大都有做下一些笔记。然而,出于自己的惰性,一直没有系统的将它们整理归纳起来。因此,从今天开始希望以每天一篇论文讲解的形式将自己过往阅读过的,感兴趣的,项目中所用到过的论文在博客上进行一次梳理。所谓温故而知新,在梳理的同时期许自己能够有新的收获,和大家一同成长...
CVPR 2017论文集锦(论文分类)—— 附录部分翻译
热门推荐
dengheCSDN的博客
08-23 2万+
作为计算机视觉领域的三大顶级会议之一,CVPR 2017 又收录了很多优秀的文章。具体可参见 CVPR论文官网:http://www.cvpapers.com/cvpr2017.html        Machine Learning 1 (机器学习) Spotlight 1-1A  (关注的焦点 1-1 A) Exclusivity-Consistency Regular
CVPR2017论文摘要汇总
super_chicken的博客
04-09 1万+
1. Exclusivity-Consistency Regularized Multi-view Subspace Clustering Abstract: Multi-view subspace clustering aims to partition a set of multi-source data into their underlying groups. To boost the ...
targeted-adversarial-perturbations-monocular-depth:针对单眼深度预测的目标对抗性扰动的PyTorch实施(在NeurIPS 2020中)
05-23
单眼深度预测的有目标对抗性扰动 针对单眼深度预测的目标对抗性扰动的PyTorch实现 [ ] [ ] 发表于《神经信息处理系统学报》(NeurIPS)2020 作者:, 如果这项工作对您有用,请考虑引用我们的论文: @inproceedings{wong2020targeted, title={Targeted Adversarial Perturbations for Monocular Depth Prediction}, author={Wong, Alex and Cicek, Safa and Soatto, Stefano}, booktitle={Advances in neural information processing systems}, year={2020} } 目录 关于有针对性的对抗性扰动 大量研究表明,深层网络输出的分类,检测和
CVPR 2017论文
YongqiangGao的专栏
08-16 1万+
近期在看CVPR2017的文章,顺便就把CVPR2017整理一下,分享给大家,更多的 Computer Vision的文章可以访问Computer Vision Foundation open access、CVPapers。Machine Learning 1Spotlight 1-1AExclusivity-Consistency Regularized Multi-View Subspace
Universal adversarial perturbations(2017 CVPR
最新发布
weixin_43856668的博客
11-20 341
给定最先进的深度神经网络分类器,我们证明了存在一个通用的(与图像无关的)且非常小的扰动向量,该向量会导致自然图像以高概率被错误分类。我们提出了一种用于计算普遍扰动的系统算法,并表明最先进的深度神经网络非常容易受到这种扰动的影响,尽管人眼几乎无法察觉。我们进一步对这些普遍的扰动进行了实证分析,并特别表明它们在神经网络中具有很好的泛化性。普遍扰动的存在揭示了分类器高维决策边界之间的重要几何相关性。它进一步概述了输入空间中存在单一方向的潜在安全漏洞,对手可能会利用这些方向来破坏大多数自然图像的分类器。
论文阅读 (53):Universal Adversarial Perturbations
因吉的博客
06-06 712
要点如下:1)展示了对于给定的一个前沿神经网络分类器,只需要一个普适且极小的扰动就可以引发高概率的自然图像误分类;2)提出了一种计算通用扰动的系统算法,并表明最先进的深度神经网络非常容易受到这种扰动的影响,而人眼几乎可以察觉;3)进一步实证分析了这些普适扰动,并表明它们在神经网络中的良好泛化性能;4)普适扰动的存在揭示了分类器的高维决策边界之间的重要几何相关性。进一步概述了在输入空间中存在单个方向的潜在安全漏洞,攻击者可能利用这些方向破坏大多数自然图像上的分类器。..................
一文读懂对抗机器学习Universal adversarial perturbations | CSDN博文精选
AI科技大本营
10-22 1193
作者 | Icoding_F2014来源 | CSDN博客本文提出一种 universal 对抗扰动,universal 是指同一个扰动加入到不同的图片中,能够使图片被分...
[论文笔记] Universal Adversarial Perturbations Against Semantic Image Segmentation(ICCV 2017)
Invokar的博客
08-20 1284
Universal Adversarial Perturbations Against Semantic Image Segmentation(ICCV 2017) 文章简介: DataSet: Cityscapes 区别: 与普通的单目标图片分类相比,多目标的语义分割任务会存在一个问题,就是某些target像素点的梯度方向可能正好与另外target像素点的梯度方向相反。而一般的交叉熵损失函数...
Adversarial Perturbations
zhangconghh的博客
10-11 1090
这里写自定义目录标题Adversarial Perturbations新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Adversarial Perturbations 你好! 这是你第一次使用 Markdown编辑器 所
Universal adversarial perturbations(翻译,侵删)
bash_winner的博客
02-10 967
Universal adversarial perturbations(通用对抗扰动) 原文链接 https://www.researchgate.net/publication/309460742_Universal_adversarial_perturbations 摘要 考虑到一个顶尖的深度神经网络分类器,我们展示了一个通用(图像不可知)和非常小的扰动向量的存在,它会英气自然的图片,以一个很高的置信度被误分类。我们提出了一个系统的算法来计算通用扰动,来展示顶尖的深度神经网络对于这类扰动的高度的脆弱性,
universal adversarial perturbations
03-16
通用对抗扰动(universal adversarial perturbations)是指一种可以对多个图像进行攻击对抗扰动,即使这些图像属于不同的类别。这种扰动可以通过对训练数据进行反向传播来生成,然后添加到测试数据中,从而使分类器产生错误的预测结果。通用对抗扰动是对抗样本攻击的一种重要形式,可以用于测试和评估机器学习算法的鲁棒性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值