AdvGAN算法(论文笔记)

最新推荐文章于 2024-06-24 17:12:52 发布
最新推荐文章于 2024-06-24 17:12:52 发布
阅读量5.5k 收藏 15
点赞数 5
文章标签: 算法 人工智能 深度学习 神经网络 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hehhehea1/article/details/121630220
版权
本文介绍了AdvGAN算法,一种基于对抗网络生成对抗性示例的方法,无需模型内部信息,能在白盒和黑盒攻击中表现出色,尤其在黑盒攻击中以92.76%的准确率在MNIST数据集上排名靠前。研究还涉及GAN网络的应用和AdvGAN在黑盒攻击中的创新策略,如动态蒸馏和有针对性的攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文:Generating Adversarial Examples with Adversarial Networks

链接:https://arxiv.org/pdf/1801.02610

摘要

深度神经网络容易收到由于输入小幅度的干扰而产生对抗性示例的影响。人们已经提出了各种各样的攻击策略来生成攻击示例。如何产生高质量和更高效的示例需要更多的研究工作。再本文中,作者提出了AdvGAN算法,这是一种基于对抗网络生成对抗示例的方法。作者也做了白盒攻击和黑盒攻击的测试,并且在黑盒测试中,他们以92.76%的准确率在公共数据集MNIST黑盒攻击中排名第一。

1. 介绍

除了一些背景知识,作者将AdvGAN和FSGM算法进行了对比。在白盒攻击中,FSGM需要访问模型的架构和参数,而AdvGAN不需要,因此它可以立即对任何输入产生对抗性扰动,无需访问模型本身,所以作者把这种攻击成为半白盒攻击。

本文的贡献:

  • 不同于之前的方法,作者训练了一个网络来生成对抗示例,不仅效果好,而且效率高。
  • 作者证明了,AdvGAN可以采用蒸馏网络来攻击黑盒模型,他们提出了利用查询信息动态提取模型,实现高的黑盒攻击成功率和有针对性的黑盒攻击,这个是基于可转移性的黑盒攻击难以实现的。
  • 用了最先进的防御方法来测试AdvGAN,表明在当前的防御下取得了更高的攻击率。
  • 比赛成绩好。

2. 相关工作

2.1 对抗例子

参见我上一次写的C&W算法的博客。

2.2 黑盒攻击

出于安全的原因,现有的学习系统通常不允许访问模型,因此通常需要进行黑盒攻击。

大多数黑盒攻击的攻击策略都是基于可转移的现象。攻击者可以训练本地模型来获得对抗示例,希望示例也能攻击其他模型。但是很少工作能够利用目标模型的基于查询的访问来构建对抗样本,并且超越可转移性。Hu和Tan建议使用GANs为恶意软件构建错误示例,而且Papernot建议训练一个局部替代模型,这个策略仍然依赖可转移性。相比之下,作者提出的AdvGAN算法不需要依赖可转移性。

2.3 GAN网络

GAN网络在图像生成和操作方面的效果很好。作者采用类似对抗损失和图像到图像的网络结构来学习从原始图像到扰动的映射,使产生的扰动和原始图像分不开,而且保证了攻击的效果。

3.  使用对抗性网络来生成对抗示例

3.1 问题定义

不赘述

3.2 AdvGAN网络架构

 图1中,给定一个输入x,记过generator网络生成扰动G(x),扰动G(x)和输入x相加,一方面把xG(x)+x送入discriminator网络训练,另外一方面将x+G(x)送入被攻击的网络训练。G网络用来输出噪声,而D网络的目标函数代表xx+G(x)的距离度量,而f网络的目标函数代表分类结果和攻击的标签的损失值。

L_{GAN} = E_x \log D(x) + E_x \log (1-D(x + G(x)))

L_{adv}^f = E_x l_f(x+G(x),t)

l_f是原网络f的目标函数,t是攻击的标签。

为了限制扰动的大小,作者加入了额外的损失L_{hinge}

L_{hinge} = E_x max(0,||G(x)||_2-c)

c是一个常数,控制扰动的大小的。

最终的目标函数L可表示为

L = L_{adv}^f + \alpha L_{GAN} + \beta L_{hinge}

3.3 黑盒攻击

1)静态蒸馏

作者从黑盒模型的训练数据中随机抽取数据,通过查询功能获得软标签。基于这些软标签构建一个蒸馏网络f。他们在网络f上执行白盒攻击。f的目标是

arg \max_f E_x H(f(x),b(x))

H是交叉熵函数。

2)动态蒸馏

仅仅使用原始数据集训练蒸馏蒸馏模型是不够的,因为不清楚黑盒和蒸馏模型在生成对抗示例上的表现有多接近。作者提出了一种可选的最小化方法动态查询来训练生成器,迭代的步骤如下。

1. 根据固定的网络f_{i-1},基于网络f_{i-1}训练G_iD_i,采用G_{i-1}的参数初始化G_i

G_i,D_i = arg \min_G \max_D L_{adv}^{f_{i-1}} + \alpha L_{GAN} + \beta L_{hinge}

2. 根据固定的G_i更新f_i

f_i = arg \min_f E_x H(f(x),b(x)) + E_x H(f(x+G_i(x),b(x+G_i(x)))

实验细节部分略。

woshiyiba
关注
GAN在对抗攻击中的应用:AdvGAN模型
AI天才研究院
04-05 1625
非常感谢您提供如此详细的任务要求和约束条件。我已仔细阅读并理解了您的要求,接下来我将尽我所能撰写这篇专业的技术博客文章。 GAN在对抗攻击中的应用:AdvGAN模型 1. 背景介绍 近年来,深度学习模型在各个领域取得了长足进步,在图像识别、自然语言处理、语音合成等任务
边缘端动态模型蒸馏与更新机制:边缘端动态蒸馏机制实现与 TensorRT 工程落地案例
最新发布
努力分享一些人工智能相关的知识干货!
05-05 1044
在边缘计算设备性能受限的现实条件下,传统的静态模型部署方案已难以满足实时性与准确性并存的需求。本文聚焦边缘端动态蒸馏机制,系统性拆解从多阶段知识迁移、在线模型更新、教师-学生结构设计,到 TensorRT 推理引擎的高效接入与动态子图优化方案。通过基于 NVIDIA Jetson 的真实部署案例,详解模型动态轻量化路径、权重热替换策略与 OTA 更新机制,帮助构建高效、稳定、可持续进化的边缘智能系统,为大模型在边缘端的极致性能释放提供实战参考。
advGAN_pytorch:论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现
05-31
advGAN_pytorch 论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现。 训练目标模型 python3 train_target_model.py 训练 advGAN python3 main.py 测试对抗样本 python3 test_adversarial_examples.py 结果 MNIST 测试集中的攻击成功率: 99% 注意:我的实现与论文略有不同,因为我添加了一个剪辑技巧。
AdvGAN ++(翻译)
weixin_50556981的博客
12-02 2593
摘要 对抗性例子是虚构的例子,与原始图像没有区别,它们误导了神经网络并大大降低了它们的性能。 最近提出的AdvGAN是一种基于GAN的方法,它以输入图像为先验来生成以模型为目标的对手。 在这项工作中,我们通过提出AdvGAN ++(一种能比AdvGAN达到更高的攻击率并同时在MNIST和CIFAR10数据集上产生感知上逼真的图像)的AdvGAN ++,来展示潜在特征如何比输入图像更适合用于生成对手。 1.引言及相关工作 深度神经网络(DNN)现在已成为解决分类,对象识别,分割,强化学习,语音识别等各种任务的
「 [AdvGAN]Generating Adversarial Examples with Adversarial Networks论文精读」2023年9月22日
zmljh的博客
09-22 710
(我们就是对手,因为我们要训练出攻击模型,我们训练出的攻击模型就是威胁模型)在这种情况下,如果对手仍然可以成功地攻击模型,这意味着攻击策略的鲁棒性。类似地,在CIFAR-10上,我们对基于AdvGAN的ResNet和Wide ResNet应用了相同的半白盒攻击,图3(a)显示了一些对抗性示例,这些示例在感知上是真实的。此外,当我们在不了解现有防御的情况下应用AdvGAN在不同模型上生成对抗性实例时,生成的对抗性实例可以以比竞争方法生成的实例更高的攻击成功率攻击最先进的防御。在对角线上,显示原始图像。
「 [AdvGAN++]AdvGAN++ : Harnessing latent layers for adversary generation论文精读」2023年9月22日
zmljh的博客
09-22 753
我们进行实验,比较当使用各种防御机制(如FGSM[2]、迭代FGSM[9]和集成对抗性训练[16])训练目标模型M时,AdvGAN++和AdvGAN的攻击成功率。AdvGAN++是AdvGAN的一个版本,它实现了比AdvGAN更高的攻击率,同时在MNIST和CIF AR10数据集上生成感知逼真的图像。两个损失几乎一样,但是AdvGAN由生成器生成的是x+G(x),AdvGAN++由生成器生成的是G(z|f(x))在我们的工作中,我们研究了AdvGAN[17]留下的空白,主要集中在观察[14]上,
AdvGAN阅读笔记
comea23的博客
06-02 1071
算法笔记》pdf版,欢迎下载学习~
10-10
算法笔记》是一本专注于算法学习的书籍,其PDF版本为学习者提供了便捷的电子阅读体验。这本书特别针对想要提高CSP(计算机软件能力认证)分数的读者,无论是初学者还是有一定基础的学习者,都能从中受益。CSP是...
665441 算法笔记.胡凡.part1_算法_算法笔记.胡凡_
10-03
665441 算法笔记.胡凡.part1
Python算法实现笔记源码解析与实战
03-25
项目概述:《Python算法实现笔记源码解析与实战》 本项目主要以Python编程语言为核心,包含完整的源码解析和实战案例,致力于通过实际编码加深对算法的理解和应用。项目共包括47个文件,具体文件类型分布如下: - ...
算法笔记
02-28
算法的入门和深入了解都有很大帮助,而且还可用于考研机试,PAT等级考试等,希望对大家有帮助
拉普拉斯矩阵算法解释笔记
04-14
拉普拉斯矩阵算法解释笔记
advGAN论文阅读笔记
weixin_41313095的博客
01-07 2830
使用两个攻击模型 一个是半白盒,一个是黑盒 最先进的防御方法来抵御敌对的例子,并证明AdvGAN在当前防御下相比于其他的攻击,具有更高的攻击成功率。 advGAN 分为三部分,生成器,鉴别器,目标网络, 生成器作用是给目标图片加上一个干扰因素生成一张受干扰的图片,下一步将受干扰的图片传送给识别器和目标网络,识别器的作用是识别能够将受干扰的图片正确识别为目标图片,鼓励生成器生成无法区分原图和生...
论文理解:Defense-GAN
水不在深有江的博客
12-10 4429
由于首次接触对抗训练方面的内容,在此先对对抗训练相关知识做一个简要的整理。 对抗训练基本说明见https://www.leiphone.com/news/201702/Jpb0uiOt9RTwcB8E.html 对抗攻击大致分为3种 ...
[advGAN]Generating Adversarial Examples With Adversarial Networks
qq_37162983的博客
04-02 5639
这周读论文。。读的是这篇反正。这个内容比较新,网上也没啥有特别有价值的参考内容,把学习笔记发上来,希望能有一点点帮助嗯似乎是提出了用GAN以解决神经网络安全性的问题。。。白盒攻击攻击者能够获知机器学习所使用的算法,以及算法所使用的参数。攻击者在产生对抗性攻击数据的过程中能够与机器学习的系统有所交互。黑盒攻击攻击者并不知道机器学习所使用的算法和参数,但攻击者仍能与机器学习的系统有所交互.比如可以通过...
advGAN代码笔记
Blue_Whale2020的博客
04-08 2385
这是一种使用GAN来生成对抗样本的模型 代码: 首先来看一个训练过程 代码中首先训练的是D 首先用generator生成干扰项 perturbation,然后与原图相加形成对抗样本 adv_images 当然训练一个D的loss分为了两部分,loss_D_real旨在拉近吃正样本之后的输出与1的距离 loss_D_fake旨在拉近吃负样本之后与0的距离,这里的负样本就是对抗样本,输入的时候不要忘了detach掉 # op...
[AdvGAN]Generating Adversarial Examples with Adversarial Networks阅读笔记
wanttifa的博客
01-06 7085
目录 文章目录@[toc]1.简介2.相关工作3.利用生成网络来生成对抗样本3.1.问题定义3.2.AdvGAN框架3.3黑盒攻击与对抗网络动态蒸馏4.实验结果4.1.AdvGAN在半白盒攻击中的设置4.2.AdvGAN在黑盒攻击中的设置4.3.防御下的攻击效能4.4.高分辨率对抗性的例子5.结论 1.简介 深度神经网络已经取得了很多成就,但是近来许多工作已经证明DNN在对抗干扰上是很脆弱的。许多...
游戏AI的创造思路-技术基础-深度学习(4)
warghostwu的博客
06-24 1079
一个生成器(Generator)一个判别器(Discriminator)生成器的任务是捕捉样本数据的分布并生成新的数据样本,而判别器则试图区分输入数据是来自真实数据集还是由生成器生成的。
【CV算法兵器】“晓风残月” ->对抗攻击“兵器”大放送(综述篇)
欢迎大家关注我
04-06 1028
0 导读 随着深度学习与AI算法在工业界不断落地,AI安全已经成为一个算法解决方案的重要关注方向。在此将我的公众号文章分享到CSDN上,希望能和CSDN上的朋友们一起交流学习CV算法以及相应的知识。也欢迎大家关注我的公众号WeThinkIn。 公众号原文: 【CV算法兵器】“晓风残月” ->对抗攻击“兵器”大放送(综述篇) 1 写在前面 【CV算法兵器】栏目专注于分享CV算法与机器学习相关的核心模型,高价值论文以及工业界经典的工作,欢迎大家一起交流学习 大家好,我是Rocky。 汉唐盛世,英雄辈出。长
advGAN模型中生成器的loss趋于1
05-19
advGAN模型中,生成器的目标是生成伪造图像,使得判别器将其误认为是真实图像。因此,生成器的目标是最小化判别器对生成图像的损失值。由于最小化损失函数是一个优化问题,因此在训练过程中,生成器的损失值可能会波动并不断变化。在某些情况下,生成器的损失可能会趋于1或接近1。这通常表示生成器无法成功地欺骗判别器,因此判别器能够轻松地区分生成的伪造图像和真实图像。如果生成器的损失一直趋近于1,那么可能需要调整模型的超参数或者更改模型架构来提高生成器的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值