Attcak and Defense

最新推荐文章于 2022-01-07 16:02:16 发布
最新推荐文章于 2022-01-07 16:02:16 发布
阅读量231 收藏
点赞数
分类专栏: 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/assassintt/article/details/100576625
版权

Atack

对样本进行攻击。使分类失败

改变x 生成新的图片

1.正常的training,Loss越小越好,使y接近正确结果。

2.无目标的攻击, 使loss越大越好。 -C

3. 有目标的攻击, 是 -C越大, 还要使目标越接近y的错值。

4. x' 和x0 距离d 小于等于一个值, 自定义。

  

distance 很多种设计

平方差

 

最大差   同样d值L-infinity 差距更明显

gradient  desent, Loss 越小越好。对x求导

xt超出范围,找在原x0范围内就近的x。拉到尖角

Attack Approaches
•常见攻击方法
FGSM (https://arxiv.org/abs/1412.6572)
Basic iterative method (https://arxiv.org/abs/1607.02533)
L-BFGS (https://arxiv.org/abs/1312.6199)
Deepfool (https://arxiv.org/abs/1511.04599)
JSMA (https://arxiv.org/abs/1511.07528)
C&W (https://arxiv.org/abs/1608.04644)
Elastic net attack (https://arxiv.org/abs/1709.04114)
Spatially Transformed (https://arxiv.org/abs/1801.02612)
One Pixel Attack (https://arxiv.org/abs/1710.08864)
...... only list a few

FGSM, 不关心距离, 只关系方向, 直接1, -1。一步到位,

类似, 设置了很大的learning rate, 最后落在distance上。

以上是知道参数进行攻击, 是White Box Attack, 黑盒也可以攻击。

用training data 训练新的模型, 用模型找到攻击图片。

用新生成的图片攻击原来黑盒模型

可能存在一张图片攻击所有模型的情况

现实中攻击的例子

带上眼镜, 可以被人脸识别识别成某个明星

 

30~50个的人脸角度, 都能识别出来

确保眼睛能以色快的方式大片呈现, 像素间的极端差异不容易被相机捕捉

确保能印出来,物理辨识能够

Defense

Adversarial Attack cannot be defended by weight regularization, dropout and model ensemble.

Passive defense 被动攻击, 加上一层filter, 可以设计几个filter 保护model。给model 加上盾牌。

攻击信号只在某几个方向有效, 如可以加smoothing,使攻击失效。

图片缩放, 加padding, 加上杂讯等

Proactive Defense 主动攻击

先用某种攻击算法, 把每个训练图片, 计算出攻击数据, 把攻击数据加入到training data,给他正确的label。 重新训练把洞补起来。因为新的参数可能产生新的漏洞, 所以继续重新训练,需要多次循环。

因为攻击可能用到不同的模型,所以defense 还是比较困难的。


 

Assassintt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
人脸表情识别PaddlePaddle学习3
qq_41271475的博客
07-19 972
epoch10,batchsize8.。。0.71 epoch10,bs16 准确度降低到0.63 epoch15,bs8 0.77 epoch20,bs8 0.81 loss和accuracy之间存在关系,但并不对等;从模型角度出发,loss是衡量标准;但是好的模型最终还是要提现到accuracy上。 学习成绩打比方, loss是全班平均分, accuracy是90分以上的比率 简单来说loss是给深度学习看的,用来优化参数,实现梯度下降。acc是给人看的,用来衡...
train loss与test loss结果分析
Jia12138的博客
07-21 7250
train loss与test loss结果分析 本文主要参考train loss与test loss结果分析 一、trian_loss与test_loss的趋势分析 train loss 不断下降,test loss不断下降,说明网络仍在学习; train loss 不断下降,test loss趋于不变,说明网络过拟合; train loss 趋于不变,test loss不断下降,说明数据集100%有问题; train loss 趋于不变,test loss趋于不变,说明学习遇到瓶颈,需要减小学习率或
trainloss与test loss大小大概多少
追梦小狂魔的博客
02-14 7909
一个好的网络,二者的差距应该是很低的。但一般情况下因为网络不可避免地存在一定程度上的过拟合,所以肯定是train_loss低于test_lost,但如果低太多,就得考虑是过拟合的问题还是因为样本的特征空间不统一的问题。   一般训练集不大时,最终训练的网络及容易过拟合,也就是说train-loss一定会收敛,但是test-loss不会收敛;  训练时的loss会低于test的loss大概1~2个数...
2.基于梯度的攻击——FGSM
weixin_34037173的博客
03-28 1918
  FGSM原论文地址:https://arxiv.org/abs/1412.6572   1.FGSM的原理     FGSM的全称是Fast Gradient Sign Method(快速梯度下降法),在白盒环境下,通过求出模型对输入的导数,然后用符号函数得到其具体的梯度方向,接着乘以一个步长,得到的“扰动”加在原来的输入 上就得到了在FGSM攻击下的样本。     FGSM的攻击表达...
深度学习网络模型训练过程中的Loss问题合集
AI女的博客
03-19 7656
把数据集随机分为训练集,验证集和测试集,然后用训练集训练模型,用验证集验证模型,根据情况不断调整模型,选择出其中最好的模型,再用训练集和验证集数据训练出一个最终的模型,最后用测试集评估最终的模型 训练集(Training Set):用于训练模型。 验证集(Validation Set):用于调整和选择模型。 测试集(Test Set):用于评估最终的模型。 train loss不断下降,test loss不断下降,说明网络仍在学习 train loss 不断下降,test loss趋于不变,说明网络过拟合
Client-Side Attacks and Defense epub
05-03
Client-Side Attacks and Defense 英文epub 本资源转载自网络,如有侵权,请联系上传者或csdn删除 查看此书详细信息请在美国亚马逊官网搜索此书
SQL Injection Attacks and Defense
06-03
English, PDF, SQL Injection Attacks and Defense
机器学习Attack and Defense.pdf
01-16
李宏毅机器学习
Client-Side Attacks and Defense 无水印原版pdf
05-03
Client-Side Attacks and Defense 英文无水印原版pdf pdf所有页面使用FoxitReader、PDF-XChangeViewer、SumatraPDF和Firefox测试都可以打开 本资源转载自网络,如有侵权,请联系上传者或csdn删除 查看此书详细...
一个值得深思的问题?为什么验证集的loss会小于训练集的loss
zero的博客
11-03 1万+
在本教程中,您将学习在训练自己的自定义深度神经网络时,验证损失可能低于训练损失的三个主要原因。 我的验证损失低于训练损失! 怎么可能呢? 我是否意外地将训练和验证loss绘图的标签切换了? 潜在地。 我没有像matplotlib这样的绘图库,因此将丢失日志通过管道传输到CSV文件,然后在Excel中进行绘图。 绝对容易发生人为错误。 我的代码中有错误吗? 几乎可以确定。 我同时在自学J...
训练loss不下降原因总结
我是天才很好
07-08 1万+
当我们训练一个神经网络模型的时候,我们经常会遇到这样的一个头疼的问题,那就是,神经网络模型的loss值不下降,以致我们无法训练,或者无法得到一个效果较好的模型。导致训练时loss不下降的原因有很多,而且,更普遍的来说,loss不下降一般分为三种,即:训练集上loss不下降,验证集上loss不下降,和测试集上loss不下降 train loss 不断下降,test loss不断下降,说明网络仍在学习; train loss 不断下降,test loss趋于不变,说明网络过拟合; train loss 趋于不变
深度学习的多个loss如何平衡?
weixin_42535423的博客
01-07 8794
高赞回答 1 这也是个困扰了我多年的问题: loss = a * loss1 + b * loss2 + c * loss3 怎么设置 a,b,c? 我的经验是 loss 的尺度一般不太影响性能,除非本来主 lossloss1,但是因为 b,c 设置太大了导致其他 loss 变成了主 loss。 实践上有几个调整方法: 手动把所有 loss 放缩到差不多的尺度,设 a = 1,b 和 c 取 10^k,k 选完不管了; 如果有两项 loss,可以 loss = a * loss1 + (1 - a)
5.基于优化的攻击——CW
weixin_33852020的博客
03-30 2542
CW攻击原论文地址——https://arxiv.org/pdf/1608.04644.pdf 1.CW攻击的原理   CW攻击是一种基于优化的攻击,攻击的名称是两个作者的首字母。首先还是贴出攻击算法的公式表达:  下面解释下算法的大概思想,该算法将对抗样本当成一个变量,那么现在如果要使得攻击成功就要满足两个条件:(1)对抗样本和对应的干净样本应该差距越小越好;(2)对抗样本应该使...
机器视觉中使用深度学习所面临的对抗攻击——Survey(上)
Erpim的博客
11-26 2万+
1、Box-constrained L-BFGS Szegedy[22] 等人首次证明了可以通过对图像添加小量的人类察觉不到的扰动误导神经网络做出误分类。他们首先尝试求解让神经网络做出误分类的最小扰动的方程。但由于问题的复杂度太高,他们转而求解简化后的问题,即寻找最小的损失函数添加项,使得神经网络做出误分类,这就将问题转化成了凸优化过程。 2、Fast Gradient Sign Method...
深入理解计算机系统attack lab
热门推荐
peanWang的博客
05-26 4万+
Attack lab
李宏毅学习笔记19.Attack and Defense
老毛的博客
04-21 1229
文章目录简介Attack(重点)做法Loss Function for Attack约束的定义如何攻击例子小结其他方法Attack ApproachesFGSMWhite Box v.s. Black BoxBlack Box AttackUniversal Adversarial AttackAdversarial ReprogrammingAttack in the Real WorldDef...
机器学习8 -- 模型攻防(model attack & model defense
谢杨易的博客
09-09 1万+
1 什么是模型攻防 1.1 攻防定义 我们在平常的深度学习模型开发中,一般关注的重点在模型指标上,比如ACC、F1、Bleu等。但其实还有另一方面需要注意,那就是模型攻防,特别是在人脸识别等安全领域。什么是模型攻击(model attack)呢?以图片分类为例,如下图。原始图片经过分类模型,可以正确识别是tiger cat。我们在图片上加入某些一定分布的噪声后,模型可能就会把它错误识别为其他类别,比如keyboard。 1.2 攻击条件 模型攻击必须满足两个条件 在原始图片上加入一定噪音,通过
对抗机器学习——FGSM经典论文 EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES
jmhIcoding
09-26 1636
EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES 论文URL http://users.wpi.edu/~kmus/ECE579M_files/ReadingMaterials/LinearPerturbation-Goodfelow-1412.6572.pdf 论文核心思想: 对抗样本的存在不是因为深度学习模型的非线性,恰巧相反是因为深度模型的线性。高...
3.基于梯度的攻击——PGD
weixin_34191734的博客
03-28 4697
PGD攻击原论文地址——https://arxiv.org/pdf/1706.06083.pdf 1.PGD攻击的原理   PGD(Project Gradient Descent)攻击是一种迭代攻击,可以看作是FGSM的翻版——K-FGSM (K表示迭代的次数),大概的思路就是,FGSM是仅仅做一次迭代,走一大步,而PGD是做多次迭代,每次走一小步,每次迭代都会将扰动clip到规定范围内。 ...
G - Carbohydrate metabolism and transport,K – Transcription,L - Replication, recombination and repair,N - Cell motility,O - Posttranslational modification, protein turnover, chaperones,U - Intracellular trafficking, secretion, and vesicular transport,V - Defense mechanisms,W - Extracellular structures,Z – Cytoskeleton的功能
最新发布
06-16
这些分类是生物领域中的Kegg Pathway分类。这些分类的功能如下: G - Carbohydrate metabolism and transport:涉及碳水化合物的代谢和运输。 K – Transcription:涉及DNA转录为mRNA的过程。 L - Replication, recombination and repair:涉及DNA的复制、重组和修复。 N - Cell motility:涉及细胞的运动和移动。 O - Posttranslational modification, protein turnover, chaperones:涉及蛋白质的翻译后修饰、蛋白质的降解和分解以及分子伴侣的作用。 U - Intracellular trafficking, secretion, and vesicular transport:涉及细胞内物质的运输、细胞分泌和囊泡转运。 V - Defense mechanisms:涉及细胞的防御机制。 W - Extracellular structures:涉及细胞外结构的形成和功能。 Z – Cytoskeleton:涉及细胞骨架的组成和功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值