使用生成对抗网络来生成对抗样本
最近要讲一下使用对抗网络来生成对抗样本的一篇paper,做了一下PPT,顺便写博客分享一下。
一、研究背景
近几年,人工智能与深度学习发展的很火热,尤其是在计算机视觉领域,被应用到很多场景当中,比如,图像识别、人脸识别、自动驾驶等,深度模型看起来无所不能,很强大,但是有研究发现,深度模型并没有那么强大,相反很脆弱,比如在图像识别上,只需要在一张图片上添加一点微小的扰动,就可以模型识别错误。人眼很容易识别出来图片没有发生较大的变化,但是模型很敏感,这种图像称为对抗样本。
再比如特斯拉自动驾驶不止出现一次事故了, 这种对抗攻击现象的存在制约了神经网络的应用范围,在安全性要求高的场景中,必须要确保网络有足够的鲁棒性,这样才能安全使用。
这也是研究对抗样本的意义所在。
目前的对抗样本主要有三种生成方式:
基于优化是将寻找最小可能的攻击扰动转化为一个优化问题,通过全局搜索来找到像素改变值,从而生成对抗样本
基于梯度是通过在梯度反方向上添加扰动增大样本与原始样本的决策距离,改变像素值的大小,生成对抗样本,
缩短了生成样本的时间,提高了生成样本被错误分类的比率
基于生成对抗网络是通过网络学习对抗扰动的潜在分布,从而生成对抗样本。
按照攻击目标和先验条件可以将对抗攻击分为如下:
二、GAN
上图是GAN的框架图,无非就是训练生成器与判别器,使其达到一个均衡的状态。
三、AdvGAN
这里是GAN的框架图,看着很简单,画了一个流程图来表示
这里的损失函数是重点
半白盒攻击直接把数据拿来训练AdvGAN就完事了。但是在黑盒模型中不行,这里需要将黑盒模型转换成白盒,怎么转呢?
训练一个替身模型,实际上这里是知识蒸馏的概念,这里感兴趣的可以去搜一下海顿老爷子的那边蒸馏网络的paper。
训练过程如下图
四、实验结果
常规套路,先看一下提的这个算法的效果咋样;然后跟其他算法对比一下,好在哪里;还有就是如果要攻击的模型的如果采取了防御措施,看看我的攻击是否还有效。CVpaper常规套路。。。
五、总结
emmm,想好好写博客,可是太懒了,这次PPT磨了好久才做出来,想写好博客还要花时间,慢慢改正吧,去写大数据作业了。。。
扫一扫
467
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
