对抗样本生成算法之C&W算法

最新推荐文章于 2024-04-11 17:37:01 发布
最新推荐文章于 2024-04-11 17:37:01 发布
阅读量4.4k 收藏 15
点赞数
分类专栏: 对抗样本 文章标签: 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilalaaa/article/details/106070169
版权

目录


论文 2017Oakland-Towards Evaluating the Robustness of Neural Networks.

论文背景

之前有人提出蒸馏网络,说是可以为目标网络模型提供很强的鲁棒性,能够把已出现的攻击的成功率从95%锐减到0.5%。作者提出了新的攻击方法,成功攻击了蒸馏网络。

蒸馏网络

在这里插入图片描述
蒸馏网络主要是通过梯度遮蔽的方式进行防御。它是一个知识提取的过程,首先训练得到一个老师模型,然后使用老师模型计算训练集里面所有样本的soft label,这里的soft label是指网络输出的各个类别的概率值(也就是softmax之后的输出结果),然后把这个softmax给的概率向量作为输入,训练学生模型,使其能够尽快学习到老师的能力,从而达到隐藏模型梯度信息的目的。但这种遮蔽是一种理想状态,无论遮蔽的效果多好,只要函数可导,就能得到梯度。

C&W算法原理

C&W算法是基于优化的攻击算法。创新点在于,设置了一个特殊的损失函数来衡量输入与输出之间的差异。这个损失函数含有可调节的超参数,以及可控制生成的对抗样本的置信度的参数。通过对这两个参数的选择合适的值,生成优秀的对抗样本。
根据范数的不同,C&W算法分为 L 0 L_0 L0 L 2 L_2 L2 L ∞ L_\infty L

- L 2 L_2 L2:在修改的程度与数量之间达到平衡。
在这里插入图片描述
- L 0 L_0 L0:一步步的找到那些对分类结果影响很小的像素点,然后固定这些像素点(因为改了它们也没有什么作用),直到无法再找到这样无影响的像素点了。剩下的像素点即为所需更改的点。
- L ∞ L_\infty L:限制了更改的程度
在这里插入图片描述

学-evday
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CW攻击算法
qq_38037870的博客
03-20 4151
1.CW攻击算法 - 搜索结果 - 知乎 2.对抗攻击经典论文剖析(上)【FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)】_BugLess++的博客-CSDN博客_pgd攻击 3.对抗攻击8——CW(Carlini & Wagner)_鬼道2022的博客-CSDN博客_cw攻击 4.CW Attack论文阅读与总结_超自信面包QTQ的博客-CSDN博客_cw论文 5.[中文讲解] Towards Evaluating the Robustn
对抗样本生成方法综述(FGSM、BIM\I-FGSM、PGD、JSMA、C&W、DeepFool)
04-17
对抗样本生成方法是近年来在深度学习领域中一个重要的研究方向,主要是为了揭示和解决神经网络模型的脆弱性问题。这些方法通过构造特定的输入样本来欺骗模型,使其产生错误的预测,从而暴露模型的不足之处。以下是几...
C&W攻击
comea23的博客
08-13 3299
C&W是非常经典的算法,它总结了之前算法的一些优缺点,成为了对抗样本生成算法的一个标杆。之前读了很多遍都没有踏踏实实的读下去,这是第一次全文认真读完,也有一些不明白的地方,希望能一起讨论。 ...
CW对抗样本生成算法 torch实现_cw对抗攻击
最新发布
2401_83974590的博客
04-11 725
n然而由于CxεtC(x+ε)=t是高度非线性的,因此现有的算法都难以直接求解,上面的式子,所以需要选择一种更适合优化的表达方式。即定义一个目标函数fff,当且仅当fxε≤0f(x+ε)≤0时,CxεtC(x+ε)=t。我们可以用如下的一个式子来当做fff。fx′maxi≠tFx′i−Fx′t式中,ttt表示定向攻击标签,∗(*)^+(∗)+表示max∗0;max(*,0);max(∗,0);
C&W攻击算法
weixin_49171105的博客
07-30 4725
C&W是一种基于优化的攻击方式,它同时兼顾高攻击准确率和低对抗扰动的两个方面。首先对抗样本需要用优化的参数来表示,其次在优化的过程中,需要达到两个目标,目标一是对抗样本和对应的干净样本应该差距越小越好;目标二是对抗样本应该使得模型分类错,且错的那一类的概率越高越好。......
对抗样本之CW原理&coding
liuyishou
06-09 4838
目录1 引言2 算法详解2.1 常人思路2.2 CW算法思路3 攻击直观对比4 总结5 附录 1 引言 本文采用手稿模拟的角度,尽量使读者较为直白的面对冷冰冰的公式。 抛去CW算法不谈。一般来说,生成样本算法都要保证如下两个条件: 1、对抗样本和干净样本的差距应该越小越好。评价指标有 L0,L2,L正无穷 2、对抗样本应该使得模型分类错,且分类错的那一类的置信度应足够的高(有目标攻击)。 条件一,保证了生成样本与原始干净样本尽量的相似。 条件二,保证了生成样本确实能成功攻击模型。 仔细想想,这两个条件是
对抗样本生成的PGD和C&W方法
ckxkexing的博客
12-04 5772
参考 Projected. Gradient Algorithm 预备 先记录几个常见的单词 Convex set 凸集 convergence rate 收敛速率 convex 凸函数 interpretation 理解 L0范数是指向量中非0的元素的个数。(L0范数很难优化求解) L1范数是指向量中各个元素绝对值之和 L2范数是指向量各元素的平方和然后求平方根 PGD求解带限制的问题 就是求f(x)的最小值,但是x的取值范围有限制。 如果x没有取值的限制,那么直接用梯度下降
文本表示(二)c&w模型
sinat_35456607的博客
10-31 2714
文本表示(二) c&w模型 在前面提到的神经网络语言模型中,词向量只是一个副产品,并不是核心任务(它主要训练了一个用来度量语言流畅程度的模型,其中词向量是它中间产品),而且神经网络模型中的矩阵运算操作会极大的降低模型的训练效率。 所以如果目标只是学习词向量的话,可以没必要采用语言模型的方式,而可以直接从分布式假说的角度来设计模型和目标函数,c&w模型就是直接以学习和优化词向量为最终...
C&W(Carlini & Wagner)
weixin_40872714的博客
07-14 2016
​变体复杂得多,因为它的相关距离度量是不可微分的。作者提出了一种迭代策略来连续地消除不重要的输入特征,从而可以通过扰动尽可能少的输入特征来实现明模型误分类。使得和目标类别的logit之间的差距更接近,即,降低最高类别预测置信度和/或增加目标类别置信度。参数建立了最佳情况下的停止准则,其中对抗类的logit至少比第二大类的logit要大。简言之,该策略连续地将对抗扰动的大小限制在连续更小的。当前具有最高的logit值,则logit的差值将为负,因此当。类和第二大类之间的logit值的距离。......
一种面向人脸活体检测的对抗样本生成算法.pdf
12-16
一种面向人脸活体检测的对抗样本生成算法 面向人脸活体检测,对抗样本生成算法是当前深度学习领域中的热点话题。该算法旨在生成对抗样本,以欺骗人脸活体检测系统,达到攻击和欺骗的目的。面对当前人脸活体检测技术...
基于纹理和颜色感知距离的对抗样本生成算法.docx
12-15
对抗样本生成算法中,超参数的选择至关重要,如C&W算法和L-BFGS算法中的λ。过大的λ可能导致对抗样本的扰动过于明显,而过小则可能无法成功欺骗模型。Aho-λ算法通过动态调节,有效地解决了这一难题,提高了算法...
对抗样本生成入门文献系统整理
08-31
- **优化算法**:如C&W攻击,利用优化算法寻找模型的最弱点。 - **基于物理世界的攻击**:考虑实际环境中的物理变换,如打印-扫描对抗样本,这类攻击更接近现实场景。 4. **防御策略** - **对抗训练**:在训练...
多尺度生成式对抗网络图像修复算法_.pdf
05-21
"多尺度生成式对抗网络图像修复算法" 本文主要研究了基于生成式对抗网络(GAN)模型的图像修复算法,旨在解决现有图像修复算法的精确度低、视觉一致性差以及训练不稳定等问题。该算法通过改进判别器的网络结构,...
对抗样本黑箱攻击UPSET、ANGRI_学习笔记
Erpim的博客
07-28 3414
1 
C&W对抗攻击(Towards Evaluating the Robustnessof Neural Networks)
a2333333_的博客
04-01 1459
本文介绍了机器学习对抗领域的一篇非常经典的文章,文章介绍了一种强大的方法C&W,文章论证了该方法的优越性,同时说明了在防御蒸馏上其特效
深度学习---对抗样本生成
weixin_43264420的博客
03-31 5814
对抗样本攻击:在深度学习神经网络(DNN)输入较小的干扰因素会使DNN出现误判,这种攻击被称为是对抗样本攻击 对抗样本:是指在正常样本中有目的性地添加的一些干扰因素,使得DNN出现误判 举例说明对抗样本分析带来的影响: 1、通过更改路标信息,使得车辆的DNN系统将左转识别为右转 2、在激烈的商业竞争环境下,对抗样本攻击导致恶性竞争 对抗样本分析分类: 1、白盒:白盒情景下攻击者对模型完全掌握,包...
C&W攻击(论文笔记)
hehhehea1的博客
11-29 3362
摘要 摘要大概介绍了对抗学习的背景以及本文的创新点。神经网路很容易受到攻击,我们在输入一个样本x到一个模型model中,只要在x上添加少量噪声,就可以在人看不出来的情况下改变模型model的输出。背景可以参照《Adversarial Learning Targeting Deep Neural Network Classification: A Comprehensive Review of Defenses Against Attacks》,这是一篇介绍不见全面的综述论文。最近提出了一种蒸馏
基于噪声初始化、Adam-Nesterov方法和准双曲动量方法的对抗样本生成方法.docx
07-01
为了解决这个问题,本文将准双曲动量算法用于对抗样本生成,取代常规动量算法。 实验结果 实验表明,结合了本文方法的攻击组合能生成攻击成功率更高的对抗样本。同时,实验表明,3种方法都没有额外增加对抗样本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值