对抗样本生成算法之BIM算法

最新推荐文章于 2024-05-25 09:34:32 发布
最新推荐文章于 2024-05-25 09:34:32 发布
阅读量9.6k 收藏 37
点赞数 10
分类专栏: 对抗样本 文章标签: 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilalaaa/article/details/106070091
版权

目录


论文 2017ICLR-Adversarial Examples in the physical world.

论文主要内容

  • 提出了BIM攻击算法,即迭代FGSM(I-FGSM)算法
  • 提出ILCM最相似迭代算法(Iterative Least-likely Class Method)
  • 进行实验,验证了在真实物理环境中,通过图像采集得到的对抗样本是否依旧能够使得分类器分类错误。

相对于FGSM的单步攻击,I-FGSM分多步添加噪声,更能拟合模型参数,因此通常表现出比FGSM更强的白盒能力。

BIM算法原理

FGSM里面,每次寻找对抗样本的时候,直接是 x + ϵ ∗ s i g n ( ∇ x J ( x , y ) ) x+\epsilon*sign(∇_xJ(x,y)) x+ϵsign(xJ(x,y)),这样是把每个像素点都变化了 ϵ \epsilon ϵ 这么大。这个改动其实是挺大,因为每个像素点都动了。

FGSM提出的理论假设:假设目标损失函数 J ( x , y ) J(x,y) J(x,y) x x x之间是近似线性的,即 J ( x , y ) ≈ w T x J(x,y)≈w^Tx J(x,y)wTx,然后我们想往 x x x加上一个小的扰动 η \eta η,使得 J ( x , y ) J(x,y) J(x,y)变化最大。而 J ( x + η , y ) − J ( x , y ) ≈ w T η J(x+\eta,y)−J(x,y)≈w^T\eta J(x+η,y)J(x,y)wTη,要使最大,最好是直接 η = ϵ ∗ s i g n ( ∇ x J ( x , y ) ) \eta=\epsilon*sign(∇_xJ(x,y)) η=ϵsign(xJ(x,y))

然而,这个线性假设不一定正确,如果 J J J x x x不是线性的,那么在 ( 0 , ϵ ∗ s i g n ( ∇ x J ( x , y ) ) ) (0,\epsilon*sign(∇_xJ(x,y))) (0ϵsign(xJ(x,y)))之间是否存在某个扰动,使得 J J J增加的也很大,此时 x x x的修改量就可以小于 ϵ \epsilon ϵ

于是,作者就提出迭代的方式来找各个像素点的扰动,而不是一次性所有像素都改那么多,即迭代式的FGSM,也就是I-FGSM(Iterative FGSM)或BIM(Basic Iterative Method)。公式如下:在这里插入图片描述
迭代的含义:每次在上一步的对抗样本的基础上,各个像素增长 α \alpha α(或者减少),然后再执行裁剪,保证新样本的各个像素都在 x x x ϵ \epsilon ϵ 邻域内。这种迭代的方法是有可能在各个像素变化小于 ϵ \epsilon ϵ 的情况下找到对抗样本的,如果找不到,最差的效果就跟原始的FGSM一样。

裁剪(Clip):在迭代更新过程中,随着迭代次数的增加,样本的部分像素值可能会溢出,比如超出0到1的范围,这时需将这些值用0或1代替,最后才能生成有效的图像。该过程确保了新样本的各个像素在原样本各像素的某一领域内,不至于图像失真。

ILCM算法原理

该算法是I-FGSM的难度升级版,将输入图像分类成原本最不可能分到的类别,公式如下所示。原本No-targeted Attacks只需要让模型分类错误就算攻击成功,而现在需要模型将攻击图像分类成原本分类概率极低的类别,难度可想而知。当然,这部分内容其实是有Targeted Attacks的雏形,因为可以指定攻击类别。从公式中可以看到和前面无目标攻击公式的最大区别在于 α \alpha α前面的加号变成减号,同时原本的真实标签 y t r u e y_{true} ytrue变成 y L L y_{LL} yLL,这2个修改使得模型优化的目标是最终对应类别为 y L L y_{LL} yLL的分类概率越来越大,这和常规的分类模型训练类似,只不过监督信息并不是真实标签,而是指定的一个标签。
在这里插入图片描述

这个 y L L y_{LL} yLL是原输入图像在分类模型中分类概率最小的类别,可以通过如下式子计算得到:
在这里插入图片描述

实验效果

ϵ \epsilon ϵ比较小的,I-FGSM的攻击效果比原始的FGSM好,而且ILCM的攻击效果最好,从图片上也能看出ILCM的改动是最小的。
在这里插入图片描述

物理世界实验

以往在机器学习的对抗样本研究都是直接在图像本身上研究的。生成的对抗样本通过直接调用API输入到DNN中。然而,在现实中,图像都是基于感光设备采集的。在其生成图像时,由于光线的影响、摄像头位置的影响等等,使得引入噪声,造成攻击者千方百计在图像中添加的微小干扰被破坏掉。

作者直接对对抗图片进行拍照,让模型对拍照结果进行分类,观察被照相机拍照后是否还具有对抗效果。

实验步骤:

  • 使用ImageNet训练一个Inception V3网络。
  • 寻找验证集里面特定样本的对抗样本(使用不同的对抗方法以及不同的 ϵ \epsilon ϵ
  • 把原始样本和对抗样本打印出来,并用手机拍这些打印出来的图片,图片有二维码定位用。
  • 使用Inception V3模型识别手机拍出来的图片。

实验结果:

在这里插入图片描述
作者把这种感光设备采集图像中引入噪声的过程叫做 photo transformation,然后这些transformation又可以看作是改变光照、模糊、加入噪声的这些子变化的合成,并做实验量化这些transformation的影响。
从表中可以看到,Photo Transformation对对抗样本的对抗性有一定的损失作用。其中FGSM的影响相对比较小,因为FGSM改动大。而对I-FGSM的影响比较大,这是因为它们的扰动值更小,比较容易被破坏。

学-evday
关注
  • 10
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FGSM、PGD、BIM对抗攻击算法实现资源
12-16
FGSM、PGD、BIM对抗攻击算法实现资源,需要按文章下载库 class BIM(Attack): def __init__(self, model, eps=8 / 255, alpha=2 / 255, steps=10): super().__init__("BIM", model) self.eps = eps self.alpha = alpha if steps == 0: self.steps = int(min(eps * 255 + 4, 1.25 * eps * 255)) else: self.steps = steps self.supported_mode = ["default", "targeted"]
tf_cnn_ifgsm_对抗样本_bim_
09-29
针对深度学习中图像数据的训练,简单实现基于迭代的FGSM方法生成对抗样本
探索对抗性学习:FGSM与I-FGSM的PyTorch实现
最新发布
gitblog_00079的博客
05-25 287
探索对抗性学习:FGSM与I-FGSM的PyTorch实现 项目地址:https://gitcode.com/1Konny/FGSM 简介 在深度学习领域,对抗性攻击是一个不容忽视的话题。它揭示了神经网络模型的脆弱性,尤其是在图像识别任务中。FGSM(Fast Gradient Sign Method)和I-FGSM(Iterative Fast Gradient Sign Method)是两种有...
对抗样本BIM原理&coding
liuyishou
07-20 3008
1 引言 BIM,即基本迭代法,在FGSM基础上加上了迭代操作。想看FGSM,跳转 理解了FGSM,相信对BIM会丝毫没有压力。各位看官大多还是奔着代码去的吧,这里核心讲下代码。 使用pytorch实现BIM。pytorch不会?跳转 2 BIM原理 对比 FGSM公式 BIM公式 如上,BIM与FGSM真就是一个for循环的区别。但为什么BIM也能发论文呢?BIM存在其数学理论的合理性以及实验效果表现良好。 FGSM的使用,基于作者假设模型是高度线性化的。如此一来,梯度上升的方向就是最佳
对抗样本(四)BIM&ILLC
白丁的博客
03-11 3118
文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文主要内容1、Introduction2、Methods Of Generating Adversarial Images3、Photos Of Adversarial Examples1、对抗样本的破坏率(Destruction rate)2、实验部分3、实验结果4、Artificial Image ...
手把手教你使用TensorFlow生成对抗样本 | 附源码
weixin_34072857的博客
07-28 226
更多深度文章,请关注:https://yq.aliyun.com/cloud 如果说卷积神经网络是昔日影帝的话,那么生成对抗已然成为深度学习研究领域中一颗新晋的耀眼新星,它将彻底地改变我们认知世界的方式。对抗学习训练为指导人工智能完成复杂任务提供了一个全新的思路,生成对抗图片能够非常轻松的愚弄之前训练好的分类器,因此如何利用生成对抗图片提高系统的鲁棒性...
对抗攻击3——BIM(Basic Iterative Method)
欢迎来到道的世界
04-03 3401
  Basic Iterative Method是许多个FGSM方法的拓展之一,有时候它也被称作I-FGSM。BIM是FGSM多次迭代的版本,其中总的对抗扰动量为∥r∥∞≤ϵ\|r\|_{\infty} \leq \epsilon∥r∥∞​≤ϵ。由BIM生成对抗样本的具体形式如下所示:xi+1′=Clipϵ{xi′+α⋅sign(∇xL(xi′,y))}i=0,⋯nandx0′=xx^{\prime}_{i+1}=Clip_{\epsilon}\{x_i^{\prime}+\alpha\cdot\mathr
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
04-17
对抗样本生成方法是近年来在深度学习领域中一个重要的研究方向,主要是为了揭示和解决神经网络模型的脆弱性问题。这些方法通过构造特定的输入样本来欺骗模型,使其产生错误的预测,从而暴露模型的不足之处。以下是几...
I-FGSM和ICCLM对抗算法.rar
08-15
总结来说,I-FGSM和ICCLM是两种用于生成对抗样本算法,它们都是基于FGSM的扩展,旨在更有效地欺骗深度学习模型。PyTorch作为强大的深度学习框架,配合Jupyter Notebook的使用,能够帮助研究人员和开发者直观地理解...
cleverhans-master_对抗样本_python_
10-03
攻击模块包含了一系列生成对抗样本的方法,如Fast Gradient Sign Method (FGSM)、Basic Iterative Method (BIM)和Projected Gradient Descent (PGD)等。这些方法可以用来测试模型的抗攻击能力,找出模型的弱点。 ...
AdvBox-master_python_advbox/对抗样本_
10-03
AdvBox是一个强大的Python库,专为生成对抗样本而设计,支持多种深度学习框架,如TensorFlow、PyTorch等,使得研究人员和开发者能轻松地在自己的模型上进行对抗性攻击和防御策略的实验。 AdvBox的核心功能包括: ...
对抗样本攻击
06-01
对抗样本攻击的实现,运行test.py即可,如果想要测试其他图片可以修改代码中的图片路径。
对抗样本和对抗生成网络demo
09-30
对抗样本和对抗生成网络demo,包括一个简单的tensorflow编写的gan网络
基于网络结构自动搜索的对抗样本防御方法研究.docx
06-17
例如,Fast Gradient Sign Method (FGSM)通过单步梯度计算生成对抗样本,Basic Iterative Method (BIM)通过多次迭代加强攻击效果,而 Momentum Iterative FGSM (MI-FGSM)引入动量概念,进一步提高了攻击的成功率。...
[读论文]Adversarial Examples: Attacks and Defenses for Deep Learning
DonaldSu的博客
05-06 3750
对抗样本深度学习攻击和防御 内容来源于论文:Adversarial Examples: Attacks and Defenses for Deep Learning,发表在IEEE TRANSACTIONS ON NEURAL NETWORKS AND LEARNING SYSTEMS。   论文地址:Adversarial Examples: Attacks and Defens...
BIM BM25 算法
bbbeoy的专栏
09-18 292
https://blog.csdn.net/SrdLaplace/article/details/84954920 https://www.jianshu.com/p/b4f06594d32f https://blog.csdn.net/Tink1995/article/details/104745144/
BIM计算-属于自己的减肥小程序
Bamboo
04-08 1万+
本人一位大三的学生,身高175cm,体重175(斤)。经过过年的努力,身为一个吃货,我狂吃不胖的体质完全成为变成了胖子家族的一员,这一点我十分苦恼。我特别去网上查查,看看自己这些年积累的脂肪到底有多少? 于是我到网上上面了解到了中国通用的BMI计算方式,算算的我的肥胖程度,结果十分震惊。 结果来源https://cn.onlinebmicalculator.com/ 从...
对抗样本生成算法-FGSM、I-FGSM、ILCM、PGD
R.I.P Kobe Bryant
10-10 1万+
对抗样本生成算法FGSM、I-FGSM、ILCM、PGD
图像对抗算法-攻击篇(I-FGSM)
热门推荐
AI之路
05-31 2万+
论文:Adversarial examples in the physical world 论文链接:https://arxiv.org/abs/1607.02533 在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGS...
jquery怎么生成Bim
05-23
jQuery本身并不提供BIM值的生成功能,需要借助其他库或自己编写代码来实现。BIM(Building Information Modeling)是一种数字化的建筑信息模型,通常用于建筑设计、施工和维护等领域。 如果你要在网页中生成BIM值,可以考虑使用JavaScript库,如Three.js、BIMsurfer和xBIM。这些库提供了BIM模型的可视化和交互功能,也可以用来生成BIM值。 下面以Three.js为例,演示如何生成BIM值: 1. 引入Three.js库: ``` <script src="https://cdn.jsdelivr.net/npm/three@0.131.2/build/three.min.js"></script> ``` 2. 创建BIM模型对象: ``` var bimModel = new THREE.Object3D(); ``` 3. 添加BIM元素到模型中: ``` // 创建一个立方体 var cubeGeometry = new THREE.BoxGeometry(1, 1, 1); var cubeMaterial = new THREE.MeshBasicMaterial({ color: 0xff0000 }); var cube = new THREE.Mesh(cubeGeometry, cubeMaterial); // 设置BIM属性 cube.userData = { id: '1', name: 'Cube', type: 'Element' }; // 添加到BIM模型中 bimModel.add(cube); ``` 4. 生成BIM值: ``` // 将BIM模型转换成JSON格式 var bimData = JSON.stringify(bimModel.toJSON()); // 使用SHA-256算法生成BIM值 var bimHash = sha256(bimData); ``` 上述代码中,使用了Three.js库创建了一个BIM模型对象,并添加了一个立方体元素。通过将BIM模型转换成JSON格式,再使用SHA-256算法对其进行哈希,最终生成BIM值。 需要注意的是,BIM值的生成方式可能因具体应用场景而异,上述代码仅供参考。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值