[论文分享]-通过输入多样性提高对抗样本的迁移性(Improving Transferability of Adversarial Examples with Input Diversity)

最新推荐文章于 2023-01-04 11:48:20 发布
最新推荐文章于 2023-01-04 11:48:20 发布
阅读量4.2k 收藏 25
点赞数 9
分类专栏: 深度学习 读论文
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donaldsy/article/details/100858881
版权

以下内容来自于组会论文分享,后面部分slides中比较清晰,就直接引用了。有需要slides的朋友,可关注公众号“Donald Su”,回复“迁移性”进行获取。

文中的假设部分,暂时还没结论,感兴趣的同学可以探索下。

文中的方法来自于Nips17的defence比赛中,该团队先将把比赛策略写成的文章,投中了ICLR18,可以参考另一篇文章[读论文]-通过随机操作减缓对抗攻击的影响(Mitigating Adversarial Effects Through Randomization),把该思路用于攻击,投中了CVPR19的,真正的大佬啊。。。

论文相关信息:

The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 2730-2739
作者:Cihang Xie, Zhishuai Zhang, Yuyin Zhou, Song Bai, Jianyu Wang, Zhou Ren, Alan L. Yuille – 霍普金斯大学
论文地址:https://arxiv.org/pdf/1803.06978.pdf

论文介绍:

CNN在视觉任务中已经取得了非常好的效果,但在面对对抗样本时,却显得非常脆弱。但现有的大多数对抗样本攻击方法,在黑盒攻击设置下,只能实现较低成功率。此次分享介绍了如何通过输入多样性来提高对抗样本的可移植性,产生对于白盒攻击、黑盒攻击成功率都高的对抗样本。

0. 摘要( Abstract )

  • CNN在CV中已经取得了非常好的效果,但存在脆弱性;
  • 目前的攻击方法针对黑盒攻击成功率不高;
  • 本文通过创建diverse input patterns产生对抗样本,以此提高对抗样本的迁移能力;
  • 实验效果表明,根据该方法产生的对抗样本更具迁移能力:
    • NIPS17年比赛中,使用该方法对排名靠前的防御方法和baseline进行攻击,平均成功率达到73%;
    • 比NIPS17中top1攻击方法提高了6.6%;
  • 本文方法可以作为评估对抗网络鲁棒性,和防御方法有效性的baseline

1. 引言(Introduction)

  • CNN因极好性能,促使其在CV中应用广泛。
    • 但在面对非常小的扰动时,CNN非常脆弱,会预测失败,存在脆弱性;
    • 研究对抗样本,能促使我们了解不同模型的鲁棒性,并理解当前这些训练算法的不足之处。
  • 现有的方法分为两种:单步攻击和迭代攻击
    • 单步攻击针对白盒的效果一般,但针对黑盒攻击效果好,迁移能力强
    • 多步针对白盒攻击成功率更高,但针对黑盒攻击效果差,迁移能力差
  • 原因:单步 - underfit,多步 - overfit
  • 怎样产生对于白盒攻击、黑盒攻击成功率都高的对抗样本?
  • 受数据增强的启发,本文通过创建diverse input patterns产生对抗样本,以此提高对抗样本的迁移能力。
  • 针对I-FGSM和MI-FGSM进行改进并取得了很好的效果
    在这里插入图片描述

2. 相关工作(Related Work)在这里插入图片描述

3. 方法(Methodology)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

4. 实验在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

5. 结论

在这里插入图片描述

Donald Su
关注
  • 9
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
笔记 CVPR 2021 Improving the Transferability of Adversarial Samples with Adversarial Transformations
weixin_43184082的博客
11-04 903
这里写自定义目录标题
论文研究-Improving Energy-Efficiency of HFC Networks with a Master-Slave Linecard Configuration.pdf
08-16
提高主备卡模式下的HFC网络的节能效率,陆平,袁亚博,本文基于光纤同轴混合网络(HFC)的主备卡配置,提出了一种新的节能调度算法。该算法跟据网络负载,决定将数据包转发到主卡或者是备�
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
最新发布
10-13
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
[读论文]-通过随机操作减缓对抗攻击的影响(Mitigating Adversarial Effects Through Randomization)
Donald Su
09-01 1992
通过随机操作减缓对抗攻击的影响 文章题目:Mitigating Adversarial Effects Through Randomization 该文章来自于ICLR 2018-对抗样本的defence方法 作者:Cihang Xie, Zhishuai Zhang & Alan L. Yuille – 约翰*霍普金斯大学 随着深度神经网络的广泛使用,研究人员发现,神经网络虽然精确度...
随机层缓解攻击
jadetii的学习地盘
01-04 96
原文地址:https://openreview.net/forum?id=Sk9yuql0Z
Improving Transferability of Adversarial Examples with Input Diversity
Sunshine_victory的博客
07-02 881
烦人 不想填给让填
论文那些事—Improving Transferability of Adversarial Examples with Input Diversity
shuweishuwei的博客
09-15 763
第六篇Improving Transferability of Adversarial Examples with Input Diversity(通过输入多样性提高对抗样本迁移性) 1、摘要 cnn在视觉领域已经取得了非常好的效果,但在对抗样本面前依然非常脆弱,尤其是面对黑盒模型时,攻击率更低。本文介绍通过输入多样性提高对抗样本迁移性,从而产生对于白盒攻击和黑盒攻击都高的对抗样本。此论文和MI—FGSM解决的是同一个问题,只是解决方法不同。 文中提出: 现有的方法是单步攻击(FGSM)和迭代
论文学习-IMPROVING HYPERSPECTRAL IMAGE CLASSIFICATIONWITH UNSU
07-19
论文学习--IMPROVING HYPERSPECTRAL IMAGE CLASSIFICATION WITH UNSU
Improving performance of tensor-based context-aware recommenders using Bias Tensor Factorization with context feature auto-encoding
02-07
In this paper, we focus on the problem of context-aware recommendation using tensor factorization. Tra- ditional tensor-based models in context-aware recommendation scenario only consider user-item-...
利用深度分辨式说话人编码器提高一次语音转换的鲁棒性_Improving robustness of one-shot voice
01-23
利用深度分辨式说话人编码器提高一次语音转换的鲁棒性_Improving robustness of one-shot voice conversion with deep discriminative speaker encoder.pdf
【对抗攻击论文笔记】Improving Transferability of Adversarial Examples with Input Diversity
ji_meng的博客
05-29 828
论文概述 idea method 详细内容 摘要 大多数现有的对抗性攻击仅在具有挑战性的黑盒设置下取得相对较低的成功率,其中攻击者不了解模型结构和参数。为此,我们建议通过创建不同输入模式提高对抗性示例的可迁移性。我们的方法不是仅使用原始图像生成对抗样本,而是在每次迭代时对输入图像应用随机变换。 ImageNet 上的大量实验表明,所提出的攻击方法可以生成对抗性示例,这些示例可以比现有基线更好地转移到不同的网络 1.介绍 最近提出了几种方法 [11, 36, 16] 来寻找对抗样本。一般来说,这些攻击可以
ImageNet图像分类对抗攻击-方案整理
lucky_kai的博客
01-22 2407
公众号:DLCV 赛题地址:https://tianchi.aliyun.com/competition/entrance/231761/forum 赛题介绍:按照最大浮动32干扰的话,最高分为5。 方案关键词: 模型ensemble;多尺度ensemble;数据增强。 第一名(Score:4.4) 在最初开始,从 ImageNet 数据集中挑选出 1000张可以被线下防御模型正确分类...
Improving Transferability of Adversarial Examples with Input Diversity (翻译,侵删)
bash_winner的博客
01-13 1273
Improving Transferability of Adversarial Examples with Input Diversity (使用输入多样性改善对抗样本迁移性)翻译 摘要 尽管CNN在各种视觉任务上都取得了顶尖的表现,但是他们对于对抗样本表现脆弱性—通过先干净图片添加人眼不可察觉的扰动构造。然而,许多对抗攻击只是在黑盒设置的条件下,取得了相对低的成功率,这里攻击者不知道模型的结构和参数。为此目的,我们提出了通过构造多样性输入模式提高对抗样本迁移性。不仅仅用原始的图片生成对抗样本,我们
[读论文]通过中间层攻击提高对抗样本迁移性(Enhancing Adversarial Example Transferability with an ILA)
Donald Su
11-13 2048
内容来源于论文:Enhancing Adversarial Example Transferability with an Intermediate Level Attack,发表在11月初的ICCV 2019会议上。 论文地址:Enhancing Adversarial Example Transferability with an Intermediate Level Attack 完整论...
【迁移攻击笔记】数据集の变化→提高迁移率!Improving Transferability of Adversarial Examples with Input Diversity
weixin_43916250的博客
11-23 746
1.作案动机 已知: 迭代攻击(eg.I-FGSM)过拟合且易陷入局部最优,不适合迁移。 单步攻击(eg.FGSM)欠拟合,不适合迁移。 对输入进行图像处理可以有效抵抗对抗攻击。 推测: 图像处理之后进行训练,提高迁移率。 2.作案手段 ①先回顾FGSM和I-FGSM和MI-FGSM: ②再各将其中对x’的梯度按p的概率换成对T(x’)的梯度: 总图如下: ③攻击集成网络: 用的就是...
对抗样本可转移性与黑盒攻击_学习笔记
Erpim的博客
09-07 1万+
1 
机器学习里的攻击-躲避攻击(Evasion attacks)
热门推荐
学渣的博客
12-25 2万+
目录 需要保证其安全三要素(完整性Integrit、可用性Availability、机密性Confidentially)是安全的,如对于一个网络流量包—— 1.其必须是完整的,否则信息就没有意义了——完整性 2.其必须可被接受者所获得和使用,否则这个包也没有意义了——可用性 3.其只能让有权读到或更改的人读到和更改——机密性 那么对于AI系统而言,我们同样可以从AI系统的三要素来进行考虑和分析。如下图所示—— 对于机器学习安全,我们主要讨论其完整性和机密性。 AI的完整性主要是指模型学习和预测的过程完整不
对抗样本(一)以综述入门
白丁的博客
02-20 1万+
一、论文相关信息   1.论文题目     Adversarial Examples: Attacks and Defenses for Deep Learning   2.论文时间     2017年   3.论文文献     https://arxiv.org/abs/1712.07107 二、论文背景及简介   随着深度学习的快速发展与巨大成功,深度学习被应用在许多对安全有严格要求的环境中...
CVPR2021:对抗变换提高对抗样本的可迁移性
欢迎来到道的世界
11-10 3739
方法介绍 问题定义  令xxx表示的是一个干净样本,其真实标签为yyy。深度学习分类为f(x)f(x)f(x),输出的是一个概率向量。生成对抗样本xadvx^{adv}xadv的优化公式如下所示:arg⁡max⁡f(xadv)≠ys.t.∥xadv−x∥p≤ϵ\begin{aligned}&\arg\max f(x^{adv}) \ne y\\ &\mathrm{s.t.}\quad \|x^{adv}-x\|_p \le \epsilon \end{aligned}​argmaxf(xad
improving adversarially robust few-shot image classification with generaliza
05-09
然而,随着深度学习被广泛应用于计算机视觉领域,人们发现深度神经网络在Few-shot图像分类中容易受到对抗性攻击的影响,使得其效果进一步下降。 因此,提高Few-shot图像分类的对抗鲁棒性已经成为了当前计算机视觉...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值