【Frequency constraint-based adversarial attack 2023 CIBM】现有的攻击方法容易被检测出。为了提高医学对抗样本的有效性和隐蔽性,本文提出了一种利用**图像语义特征信息(semantic feature information of images)**生成对抗样本的新方法。由于图像的底层信息存在于低频和纹理(texture),边缘细节和噪声存在于高频,该方法将对抗样本限制在低频,并将噪声限制在高频,从而使生成的对抗样本更不可检测。通过这样做,生成的对抗性样本中的扰动主要位于难以察觉的区域。
本文发表在2023年CIBM期刊上,第一作者(博导)学校:南航,引用量:4。
CIBM期刊简介:全称Computers in Biology and Medicine,影响因子7.7,中科院一区。
查询会议/期刊:
-
CCF deadline:https://ccfddl.github.io/
-
Master Journal List:Web of Science Master Journal List - Journal Profile (clarivate.com)
原文和开源代码链接:
- paper原文:https://linkinghub.elsevier.com/retrieve/pii/S0010482523007138
- 开源代码:None
0、核心内容
现有的攻击方法容易被检测出。为了提高医学对抗样本的有效性和隐蔽性,本文提出了一种利用**图像语义特征信息(semantic feature information of images)**生成对抗样本的新方法。由于图像的底层信息存在于低频和纹理(texture),边缘细节和噪声存在于高频,该方法将对抗样本限制在低频,并将噪声限制在高频,从而使生成的对抗样本更不可检测。通过这样做,生成的对抗性样本中的扰动主要位于难以察觉的区域。
1、先验知识
① 什么叫特征空间中的语义相似性(semantic similarity in the feature space)?
- 特征空间:在机器学习中,特征空间是数据的特征向量的集合,可以看作是由数据集所有可能的特征向量组成的多维空间。深度学习模型通过学习将输入数据(如图像、文本等)映射到这个特征空间中。
- 语义相似性:指的是两个或多个数据点在语义上的相关性或相似度。在图像处理中,这意味着两张图片在内容、主题或视觉特征上的相似性。
- 特征空间中的语义相似性:指的是在深度学习模型的特征空间中,不同数据点的表示(特征向量)之间的相似性。如果两个数据点的语义内容相似,那么它们在特征空间中的表示也应该相近。例如,在图像分类任务中,属于同一类别的不同图像应该在特征空间中聚集在一起。
② 什么是分类层依赖的局限性(the limitations of classification layer reliance)?
- 分类层:在深度神经网络中,分类层通常指的是网络的最后一层或最后几层,其目的是将学习到的特征映射到特定的类别标签上。这一层通常包含softmax或sigmoid激活函数,用于输出每个类别的概率。
- 分类层依赖的局限性:指的是在设计对抗性攻击或数据增强等策略时,如果过分依赖于分类层的输出(如通过最大化分类错误率来生成对抗样本),可能会导致模型对输入数据的微小变化过于敏感。这种依赖可能会限制模型的泛化能力,因为分类层的决策边界可能过于僵硬,不易适应新的或未见过的数据。
- 克服这种局限性:通过在特征空间中操作,而不是直接在分类层上操作,可以提高模型的泛化能力和对抗性攻击的转移性。这意味着通过改变输入数据的特征表示,而不是仅仅改变输出类别概率,可以使对抗性攻击更加隐蔽和有效。
③ 为什么高频成分难以察觉?
高频成分在图像中通常与细节、纹理和边缘等特征相关,而低频成分则与图像的基本结构和平滑区域相关。人眼对高频成分难以察觉的原因包括:
- 视觉感知特性:人的视觉系统对图像中的低频信息更为敏感,这是因为人眼对亮度和色彩的变化更敏感,而这些通常在低频区域表现更为明显。相比之下,高频细节如细小纹理和噪声,对人眼来说则不那么明显。
- 视觉敏感度和分辨率:人眼的视网膜上,感光细胞(视锥细胞和视杆细胞)的分布是不均匀的。在视网膜的中央凹区域,感光细胞密度较高,对细节的感知能力较强。但随着远离中央凹,感光细胞的密度降低,对高频细节的感知能力也随之减弱。 <
最低0.47元/天 解锁文章
扫一扫
5694
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
