【学习笔记】李宏毅2020ML&DL课程 1_8 - 8_8 Attack ML model

最新推荐文章于 2021-07-17 23:06:22 发布
最新推荐文章于 2021-07-17 23:06:22 发布
阅读量262 收藏 1
点赞数
分类专栏: ML&DL 文章标签: 深度学习 人工智能 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fisherish/article/details/105436759
版权

Attack ML model 2_8

攻击网络,即找一张图片,使得loss(cross-entropy loss)越大越好,此时网络的参数训练完了,要被冻住,不能改变,而是只改变输入,使我们找到这样一张图片,能够让结果“越错越好”,离正确答案越远越好

但是还需要跟错误答案越接近越好

这个负样本x’还需要跟x0够靠近,靠近到人没法发现。

约束如下,有两种方法。

他们的L2是一样的,但是就人的感知而言,上面那个看起来跟原图一样,下面那个跟原图不一样。

如果是看L_infinity,那么上面两张图片的L_infinity是比较小的,下面两张图片的L_infinity是比较大的。

Attack ML model 3_8

一样是梯度下降,但是要更新的是X‘而不是网络参数θ。我们需要最小化L(x’),且x0和x’的差距不能太大,将这样的x叫做x*

定义一个fix函数来限制x于x0的距离在epsilon内,如果是L2-norm,xt在epsilon范围外,则看看epsilon范围上哪个点离它最近,用这个点来取代xt。如果是L-infinity,看看xt是x轴还是y轴超了epsilon,超的分量直接设为epsilon即可。可以把xt拉回方形范围。

Attack ML model 4_8

攻击结果,一点点改变让模型错认为了海星

看看他们之间的差异在哪?两张图片相减,再乘50倍,得到:

正是这些微小的差异,让图片被骗了

还可以让机器觉得这个是键盘:

怎么解释?硬要解释的话,如下图,就是在一般的特征空间中,x0在附近移动,对于tiger cat的信心分数还是处于比较高的水平,但x0偏离原点太多,则可能其他class的信心分数会更高。

但是由于特征空间是一个非常高维的空间,所以存在一个特殊方向,这个方向上tiger cat的信心分数高点非常狭窄,随便一偏离很容易就误判为其他class。

但这只是现象解释一下。也有人visualize了似乎确实存在这样的现象。但就这个现象为什么会出现,还没有能被很好地解释。

Attack ML model 5_8

FGSM是一种简单有效的model attack方法,梯度下降的时候计算的梯度,如果是负的,则直接为-1,如果是正的,则直接为+1。所以x0的更新要么-epsilon,要么+epsilon。就结束了,只更新一次,就得到“最好的结果”。

只更新一次就是“最好的”attack了嘛?多攻击几次会不会更好?是的,多攻击几次确实会更好,所以FGSM有一个进阶方法eterative GSM

假设constrain用的是L-infinity,x0需要更新一次到x1,FGSM告诉我们,直接挪epsilon个位置,到x*,就结束了(图中gradient的方向为实线,gradient的反方向为更新方向)。

Attack ML model 6_8

黑箱攻击,要攻击黑箱network,自己训练一个proxy network,训练他产生attacked object,在用这个去攻击black network。


结果可以如下:

attack signal可以是universal的

本来一个network是用于ImageNet分类的,现在改造一下让它用于数方块任务,有多少方块就代表是什么classes。如下图,方法就是直接在方块后面加上杂讯图,扔到ImageNet Classifier里:

Attack ML model 7_8

有人直接用这些杂讯生成的大块色图块,制作成了眼睛,用来骗人脸识别模型,上面是实验人员(作者),下面是网络觉得的人。

Attack ML model 8_8

被动防御:假设有一张杂讯图片,可以使猫被看做键盘。在network之前加入一个filter,它可以使猫猫图片(识别对象)不会受到干扰,而使攻击图像的伤害性减弱。

什么filter呢?比如将image做图像平滑,

平滑之后虽然降低了准确率,但是让network重新认为其是tiger cat而不是键盘。解释是,找攻击信号时,实际上只有某一种或者某几种攻击信号,能够让攻击成功。虽然这种攻击信号能够让ML learning model失效,但是只有某几个方向上的攻击信号才能work。一旦加上一个filter,比如smoothing filter

feature squeeze就是一种这样的方法。先用正常的model做一个prediction,再用model之前加上squeeze模块的model做一个prediction,如果这两个prediction差距很大,说明这个image被攻击过。

还可以在原图基础上做一点小小的缩放,一些小padding,让攻击杂讯更原来不太一样。这样稍微的缩放,可以让攻击杂讯失效。

但问题是这样在model之前加“盾牌”的方法,有一个隐患就是,如果,“盾牌”的机制被泄露出去,那么攻击仍然很有可能成功。(把filter想象成network的第一个layer,再去训练攻击杂讯即可)

所以就有主动防御:

给定一个训练资料,每个训练资料x都有对应的label,用训练资料来训练模型,并且找出漏洞,补起来。

假设train T个iteration,在每一个iteration中,利用attack algorithm找出找出每一张图片的attack image,在把这些attack image标上正确的label,再作为training data,加入训练。这样的方法有点像data augmentation。

锥栗
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
6——Attack ML Models
weixin_41937876的博客
08-02 563
6——Attack ML Models 今天主要学完了Attack ML Models部分,攻防。 这张图概括的很好 训练时是用固定data去生成Network,Network是会变化的,找到一个较好的Network,而Attack有点类似于测试,固定Network结构,用和trainging data相类似的image去让model判断出错误的结果,越离谱越好。 所以我们可以反其道而行之,计算...
机器学习-26-Attack ML Model and Defense(模型攻防)
迷雾总会解
12-20 1246
神经网络不仅是要用在研究上,最后更多的肯定要在各种有意义的应用中。因此model仅仅是对杂讯(噪声)robust和大部分时间work是不够的,还要去对抗恶意攻击(注意,这里不是说仅仅是对抗杂讯,而是所谓的,不暴露出弱点)。即使是垃圾邮件识别,人脸识别这种最基础广泛的领域,也存在着大量的攻击对抗。因此,对这方面的研究是十分重要的。
李宏毅ML+DL学习记录:attack ML model
weixin_41391619的博客
02-27 465
attack和defense两方面进行记录,但是主要是attack 一.attack 1.目标:找到x’        假设我们已经训练好了一个猫分类器(要么是猫,要么不是猫),如果将一张猫的照片(即下图中的original image,设为x0)放到这个分类器中,它基本上会已很大的概率判断出这是一只猫(我们假设这个分类器的效果是比较好的)。 &nbsp...
2020李宏毅学习笔记——27.Attack ML Models(1_8)
weixin_44554337的博客
06-24 371
1.这是干啥呢? 机器训练出来的模型不光性能要强,还要能够对抗人类的恶意、攻击攻击是重点,因为防御目前还是比较困难的。 2.怎样模拟攻击? 即找一张图片,使得loss(cross-entropy loss)越大越好,此时网络的参数训练完了,要被冻住,不能改变,而是只改变输入,使我们找到这样一张图片,能够让结果“越错越好”,离正确答案越远越好。 在原图中加入一些噪声,这些噪音不是从高斯分布来的。然后丢到模型里面,会得到不一样的结果。 普通的训练模型,x0 训练的目标函数是:L train C代表交叉熵,x是不
李宏毅老师课程Attack ML Models
APythonC的博客
08-21 361
攻击机器学习模型MotivationWhat do we want to do?Loss Function for AttackConstraintHow to AttackExampleAttack ApproachesWhite Box v.s. Black BoxBlack Box AttackAttack in the Real WorldDefense Motivation What do we want to do? attack要做的事就是把找到原图片x0x^0x0对应的x′x'x′ Lo
HW_3_李宏毅2020机器学习作业_李宏毅作业3_李宏毅hw3_李宏毅作业三_saledzj_
10-01
在本次作业中,我们将深入探讨李宏毅教授2020年机器学习课程中的第三部分,主要聚焦于使用Python语言进行深度学习的基本操作。这个作业旨在帮助学生理解和实践深度学习的核心概念,包括神经网络的构建、反向传播算法...
HW_1_李宏毅机器学习作业_thatnn8_李宏毅_
10-01
这个名为“HW_1_李宏毅机器学习作业_thatnn8_李宏毅_”的压缩包,包含了李宏毅2020年机器学习课程的一部分作业内容,特别是由thatnn8完成的版本。这个作业主要涉及Python编程语言,用以解决实际的机器学习问题,并...
李宏毅教授ML-2022Spring-HW1-SampleCode-TrainingData
01-17
李宏毅教授2022春季机器学习课程——作业1样本代码与训练数据解析》 在信息技术领域,机器学习(Machine Learning, ML)作为一门关键的子领域,一直在推动着人工智能的发展。2022年春季,台湾大学的李宏毅教授...
LHY_DL_homework_2020:李宏毅2020深度学习作业
05-21
李宏毅教授的深度学习课程因其深入浅出的讲解而备受赞誉,其2020年的深度学习作业(LHY_DL_homework_2020)为学生提供了一次宝贵的实践机会,通过解决实际问题来巩固和深化理论知识。这份作业涵盖了一系列使用Python...
李宏毅 2020 ML Homework 1: Linear Regression-数据集
03-25
在这个“李宏毅2020 ML Homework 1: Linear Regression-数据集”中,我们关注的是一个回归问题,特别是针对PM2.5(细颗粒物)浓度的预测。PM2.5是指大气中直径小于或等于2.5微米的颗粒物,对人体健康和环境有显著...
AT-GAN:A Generative Attack Model译文
04-24
对《AT-GAN:A Generative Attack Model for Adversarial Transferring on Generative Adversarial Nets》进行了翻译,便于研究
李宏毅机器学习笔记——14. Attack ML Models and Defense(机器学习模型的攻击与防御)
weixin_44790306的博客
07-17 1393
摘要: 文章目录1. Attack (模型攻击)基本思想2. Defense(模型防御) 1. Attack (模型攻击) 对图像模型进行攻击 基本思想 2. Defense(模型防御)
2020李宏毅机器学习笔记-Attack ML Models
zn961018的博客
05-30 614
概述 本节课将讲Attack与Defense,其中攻击占了大部分,最后是有关防御Defense的部分。可分为被动防御Passive defense与主动防御Proactive defense。
[李宏毅-机器学习]ML攻击与防御 Attack ML model
炼丹师
02-22 701
Attack white box 已经拥有模型 只更新一次便得到最终的结果 black box 不知道模型 defense 对需要识别的图片使用filter做处理
2021李宏毅机器学习笔记--12 attack ML models
guoxinxin0605的博客
06-26 336
2021李宏毅机器学习笔记--12 attack ML models摘要一、图像模型的攻击1.1原理1.2Constraint1.3参数训练1.4一个例子1.5攻击方法1.5.1FGSM(Fast Gradient Sign Method)1.6黑盒攻击1.7拓展研究1.7.1普遍对抗攻击(Universal Adversarial Attack)1.7.2对抗性重新编程(Adversarial Reprogramming)1.8真实世界的攻击二、声音模型的攻击三、defense3.1被动防御3.1.1fe
2020李宏毅学习笔记——32.Attack ML Models(6_8)
weixin_44554337的博客
06-24 249
上一个攻击需要network的参数,才能只能GD,才能找到X‘,这是白像攻击,因为我们需要知道模型参数: 那么我们如果保护好模型的参数,是否就会安全? 事实并不是这样子,那怎么办呢,还可以做黑盒攻击 1.黑箱攻击:不知道最后的架构是什么样 黑箱攻击,要攻击黑箱network,自己训练一个proxy network,训练他产生attacked object,在用这个去攻击black network。 2.攻击步骤: 1、现在有一个我们不知道参数的黑盒模型(深蓝色); 2、我们用训练黑盒模型的训练数据自己训练
深度学习(9): Attack ML models & Adversarial attack
JJJJJJames的博客
01-18 599
Attack and Defense 需要classifiers 不只要对噪声的抗干扰性强,还要对那些为了骗过classifier而建立的输入也有很强的抗性。 especially useful for spam classification, malware(恶意软件) detection, network intrusion(网络入侵) detection, etc 1、Attack 1.1 what do we want to do? 在图片的样本点上加入一些杂讯△x\triangle x△x,原
关于Adversarial Attack 进攻方的综述
space_dandy的博客
02-22 3269
1. 对抗攻击的概念 ML算法的输入形式为数值型向量,攻击者可以设计一种针对性的扰动生成对抗样本, 让机器学习模型出现误判,称为对抗性攻击;对抗性攻击分为两种: 黑盒攻击(blck-box attack) 黑盒攻击的攻击者不知道机器学习的算法和参数,攻击者产生对抗性数据(adversarial permutation)的过程中可以与机器学习 系统有所交互。 ...
对抗样本机器学习_Note1
兔角与禅
12-05 4297
对抗样本机器学习_Note1
李宏毅2020机器学习笔记attention
最新发布
08-12
李宏毅的2020机器学习笔记中,有一个关于注意力机制(Attention)的部分。这部分内容主要介绍了生成模型(Generation)、注意力(Attention)、生成的技巧(Tips for Generation)以及指针网络(Pointer Network)。在生成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

锥栗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值