全文共2637字,预计学习时长5分钟
图片来源:pexels @pixabay
随着深度神经网络的出现,机器学习领域的安全问题日益突出。人们对神经网络的可解释性提出了质疑,也自然对深度学习模式的安全后果提出了质疑。
对抗攻击是一种用来寻找图像或数据的样本,机器学习模型在这些样本上完全随机地运行。除此之外,这些对抗样本中的网络输出可以被制作成任何期望输出类。随之而来的结果尤其令人不安。
本文将探讨最基本的对抗攻击形式,并且解释它们为何如此有效,更重要的是,为何如此难以防御。
该领域的进步使深度神经网络遭受到了数学算法层面的攻击,进而导致图像分类产生错误。这些被称为对抗样本。上图是一个非常有名的对抗样本,分类器以高置信度(99%)将停止标志分类为时钟。显然,这会对无人驾驶汽车带来巨大威胁,至于其他领域对于这些攻击也不具有鲁棒性。
这是怎么做到的?
发现构建对抗样本的过程特别有趣。当时,谷歌的研究人员正在使用CIFAR-10数据集对某些图像进行分类。他们试图将卡车类的图像转换成飞机类的图像。做法是通过反复改变卡车图像的像素值,使其与飞机图片相似。他们使用预处理图像分类器将输入图像错误地分类为飞机,利用反向传播调整了输入图像(卡车)的像素值。完成后,他们注意到分类器以高置信度将卡车图像分类为飞机。
他们本来认为要让分类器将输入图像标记为飞机,那么网络必须将输入图像转换成类似飞机的图像。看起来很简单,不是吗?
然而,事实情况并非如此。输入图像看起来仍然像一辆卡车。于是,对抗样本和对抗攻击的想法随着这个小小
最低0.47元/天 解锁文章
9782
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
