之前自己搭建了博客去写,感觉有点麻烦,于是转战CDSN。主要看中了,它可以在手机APP上写文章以及修改文章,不受时间地点限制。这一点,能够帮助我及时更新内容。
从年初开始,对深度学习的对抗样本内容进行了学习。因为疫情不能返校,从二月到五月初返校,在该领域的学习也足足有三个月。有时觉得这三个月好像学得不够多,还不够深入,但也还是了解了很多东西。接下去将对学到的这些内容进行更新,既是对过去三个月的一个总结,也鼓励自己要更加努力!
什么是对抗样本
过去,深度学习快速发展,在许多方面得到了广泛应用,比如语音识别、图像分类、目标检测等。但随之而来的是它的安全性问题。2013年,Szegedy等人发现,对图像添加小的扰动,能够以高概率欺骗深度神经网络(DNN),使其产生错误的分类结果,这些错误分类的样本被称为对抗样本。
对抗样本(Adversarial Examples):指在数据集中通过故意添加细微的干扰所形成的输入样本,这些样本导致模型以高置信度给出一个错误的输出。在原始数据上添加的干扰是人为精心构造的,人眼难以察觉。
如下图所示:
原来为汽车的图片,添加了扰动之后,我们人眼看上去依然是一辆汽车,但是在DNN模型中,它会被错误地识别为鸵鸟。
正因为对抗样本的存在,深度学习所应用的各领域的安全性难以得到保障。比如自动驾驶,如果犯罪分子将人烟稀少地区的交通信号牌改为立即停车,那么车上的人看不出有什么不妥,但自动驾驶汽车却乖乖地停车了。如此一来,车上的人就会受到财产安全甚至是人身安全的威胁。
对抗样本的分类
关于对抗样本的分类,主要有以下几种:
- 白盒(White-box)攻击&黑盒(Black-box)攻击
白盒攻击是指攻击者知道DNN模型的所有信息,包括训练数据、模型架构、超参数、层数、激活函数以及模型权重。通过计算模型梯度生成对抗样本进行攻击。
黑盒攻击是指攻击者在不知道以上信息的情况下进行攻击。 - 非定向(Non-targeted)攻击&定向(Targeted)攻击
非定型攻击指被攻击的模型的输出只要是错误的,就可以了。如原图像是小猫,添加干扰形成对抗样本输入到模型中,模型输出错误,输出结果可以是小狗也可以是小羊或者是其他,只要求是错误的。
定向攻击指被攻击模型的错误输出为特定类别。如原图像是小猫,生成的对抗样本使DNN模型错误分类为攻击者想要的小狗。
范数
范数是一种强化了的距离概念,在对抗样本中用于测量扰动的大小。范数的定义为:
L
p
=
∣
∣
x
∣
∣
p
=
∑
i
=
1
n
x
i
p
p
L_p=||x||_p=\sqrt[p]{\sum_{i=1}^n x_i^p}
Lp=∣∣x∣∣p=p∑i=1nxip
-
L 0 L_0 L0范数
指的是对抗样本相对原始图片,所修改像素的个数。限制了可以更改的像素数量,不限制每个像素更改的程度。(如之后会提到的JSMA算法) -
L ∞ L_\infty L∞范数
指的是对抗样本相对原始图片,所修改像素的变化量绝对值的最大值。限制了更改的程度,不限制更改的数量。(如FGSM算法) -
L 2 L_2 L2范数
指的是对抗样本相对原始图片,所修改像素的变化量的平方和再开平方。限制了累积的更改,在更改数量与程度之间达到某种平衡(如DeepFool算法)
其他
- MNIST、CIFAR-10和ImageNet是用于评估对抗性的三个最广泛使用的图像分类数据集。
- 对抗样本在图像、语音以及恶意软件方面都有应用。由于后面看的论文都是图像领域的,所以目前研究重点是在图像这一块。
402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
