NIC不变量检测对抗样本

最新推荐文章于 2023-07-08 14:22:27 发布
最新推荐文章于 2023-07-08 14:22:27 发布
阅读量990 收藏 2
点赞数 1
分类专栏: 对抗样本 文章标签: 神经网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilalaaa/article/details/106975228
版权

目录


论文 2019NDSS-NIC Detecting Adversarial Samples with Neural Network Invariant Checking.

背景

作者通过观察分析各种攻击下的DNN模型的内部结构,发现了攻击会使起源通道(provenance channel)和激活值分布通道(activation value distribution channel)发生变化,。

来源通道:意味着模型不稳定,一层中神经元激活值的细微变化可能导致下一层中激活神经元集合发生的实质性变化,最后导致分类错误。例如,按照图2和图4,真实样本的来源通道为12367,但受到攻击后如图5所示,来源通道发生变化,变为12378。

激活值分布通道:意味着尽管来源略有变化,但层的激活值可能与良性输入时不同。如图所示,激活值发生了变化。
在这里插入图片描述
因此,作者提出通过PI(起源不变量)和VI(激活值不变量)是否发生变化,来检测是否收到对抗样本的攻击。

检测原理

NIC神经网络不变量的检查,实质为检测模型表示的概率分布是否发生了变化。
VI是为各层训练一个模型,描述了激活值的分布,见图中的A步骤。

PI是为每一层训练一个模型,每个模型描述了从输入层到该层的关系,最后加上一个输出层。将所有派生模型的输出作为PI。

输入样本,通过观察PI与VI的变化与不定式之间关系,得到变化概率,若超出某一概率,则为对抗样本。

在我看来,这种防御方法是通过对DNN模型进行压缩,将模型更精准化,从而提高对样本的检测能力。

在这里插入图片描述

防御效果

L 0 L_0 L0主要利用了来源通道; L ∞ L_\infty L主要利用了激活值分布通道; L 2 L_2 L2则是利用了两种通道。

  • 针对 L 0 L_0 L0攻击:扰动发生在有限数量像素上,每个变化很大,仅用PI即可。若使用VI,每一层激活的神经元的数量很大,但受扰动的神经元数量少,从概率上看变化不大。
  • 针对 L ∞ L_\infty L攻击:单独使用VI比单独适用PI好,最好同时使用。像素变化小,前几层明显违背VI,检测容易。前几层提取的特征值仍非常原始,生成PI并不是高质量的。
  • 针对 L 2 L_2 L2攻击:两者都限制,PI与VI都需要

另外,检测器由许多小模型组成,训练容易。另一方面,检测器本身即为分类器,也易收到攻击。

学-evday
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
基于边界值不变量对抗样本检测方法
01-20
目前,深度学习成为计算机领域研究与应用最广泛的技术之一,在图像识别、语音、自动驾驶、文本翻译等方面都取得良好的应用成果。但人们逐渐发现深度神经网络容易受到微小扰动图片的影响,导致分类出现错误,这类攻击手段被称为对抗样本对抗样本的出现可能会给安全敏感的应用领域带来灾难性的后果。现有的防御手段大多需要对抗样本本身作为训练集,这种对抗样本相关的防御手段是无法应对未知对抗样本攻击的。借鉴传统软件安全中的边界检查思想,提出了一种基于边界值不变量对抗样本检测防御方法,该方法通过拟合分布来寻找深度神经网络中的不变量,且训练集的选取与对抗样本无关。实验结果表明,在 LeNet、vgg19 模型和 Mnist、Cifar10 数据集上,与其他对抗检测方法相比,提出的方法可有效检测目前的常见对抗样本攻击,并且具有低误报率。
OCP NIC 3.0 Design Specification.pdf
06-10
OCP NIC插卡规范
Detecting Adversarial Samples Using Influence Functions and Nearest Neighbors
weixin_46782905的博客
12-24 1841
2021.12.24 第10篇(CVPR2020) 粗读
对抗样本检测:Characterizing Adversarial Subspaces Using Local Intrinsic Dimensionality
sulfurstar的博客
05-15 3264
Characterizing Adversarial Subspaces Using Local Intrinsic Dimensionality Abstract ​ 深度神经网络对于对抗样本的攻击是十分脆弱的。要理解对抗样本,我们需要对对抗样本所在空间(对抗子空间)进行特征描述。作者通过局部固有维数(Local Intrinsic Dimensionality, LID)来表征对抗子空间的维数特性。作者首先提供了有关对抗性扰动如何影响对抗性区域的LID特征的解释,然后从实验证明了LID这一特性可以帮助区
对抗样本检测adversarial detection techniques
weixin_43748754的博客
07-02 2648
1.《CHARACTERIZING ADVERSARIAL SUBSPACES USING LOCAL INTRINSIC DIMENSIONALITY》 该方法背后的原理:对于对抗性子空间,出现在x'附近的样本点可以来自于多个流形。x'与流形S接近这一现象意味着x'的邻域很可能包于S中。然而,如果x'的邻域主要由S中的样本组成,那么x'不太可能是一个对抗样本。因此,x'的周围的样本点加在一起很可能形成比单独的任何一个子流形都要高得多的内维子空间,而对x'计算的LID估计可以预期揭示这一点。(简单来说,对
日志显示错误NIC Agent
黑坑的专栏
11-27 2650
日志描述如下: NIC Agent: Connectivity has been lost for the NIC in slot 10, port 4. [SNMP TRAP: 18012 in CPQNIC.MIB] 这可能是因为使用多块网卡,造成冲突或者有网卡断线。禁用未使用的网卡试试看。
7.3周报 对抗样本检测论文阅读复现 adversarial examples
Kevin_brown的博客
07-08 454
给定一个测试图像,可以使用GAN的判别器输出和GAN的生成器图像重构误差作为检测统计量,其中判别器输出是样本来自训练分布的概率,较小的概率表示异常样本。代码复现:模型可以正常训练,epoch100,在epoch60左右显存不够(移动端4060)停止训练,完成训练后使用训练后的模型经过测试可以评估模型在PGD,CW,GAMA攻击下的效果,受制于显卡性能测试速度太慢,且模型训练epoch不够 放弃测试。设计的分类器在原始分类器的高度弯曲区域应具有不相似的结构,同时在其他区域保持类似的结构。
windows server2012R2 NIC Teaming
12-13
3. 带宽检测算法:NIC Teaming检测网络适配器的带宽使用情况,并在必要时进行转移,以确保网络连通性。 NIC 特性支持 NIC Teaming 支持多种 NIC 特性,包括: 1. Stateless task offloads:NIC Teaming 可以...
NIC
03-20
在JavaScript编程中,虽然直接操作硬件如NIC并不常见,但开发者可以通过浏览器提供的Web APIs,如WebSocket、Fetch API或者WebRTC等,来实现与网络相关的功能。这些API允许JavaScript进行网络通信,例如发送和接收...
Regedit_CTL_New.zip_nic
09-24
标题 "Regedit_CTL_New.zip_nic" 暗示了这是一个与网络接口卡(NIC,Network Interface Card)相关的工具或程序,可能是一个用于查看和管理计算机网络配置的实用程序。这个压缩包中的“Regedit_CTL_New”可能是一个...
对抗样本攻击
06-01
对抗样本攻击的实现,运行test.py即可,如果想要测试其他图片可以修改代码中的图片路径。
change_NIC_ord.zip_fedora_linux网卡排序_nic网卡排序
09-14
默认情况下,Linux会按照设备发现的顺序或硬件地址来分配网络接口名称,但这并不总是符合我们的期望。 `change_NIC_ord.sh`脚本可能是用来实现以下功能: 1. **命名规则改变**:在Fedora和CentOS系统中,从版本21...
科研篇(12):CVPR20 分类整理-对抗样本
weixin_38316806的博客
07-28 1623
文章目录一、对抗样本-附代码1.1Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance.1.2 One Man's Trash Is Another Man's Treasure: Resisting Adversarial Examples by Adversarial Examples1.3 ColorFool: Semantic Adversarial Coloriz
对抗样本检测
weixin_45728409的博客
07-02 2860
对抗样本检测 源于:Adversarial Examples in Modern Machine Learning: A Review 下面一些内容来自这篇文章,只是对其中攻击后生成的对抗样本检测部分进行梳理。 早期的方法 PCA 作者Hendrycks 发现对抗样本后期的主成分通常比干净样本的主成分方差更大,通过设定阈值可以进行检测。文章: “Visible progress on adversarial images and a new saliency map,”CoRR, vol. abs/16
【学习】evasion attack训练生成器(自动编码器)生成对抗样本、defense、检测对手、Gumbel-Softmax、模仿攻击imitation attack
Raphael9900的博客
12-31 911
李宏毅机器学习
Python2.7安装cleverhans==3.0.1的解决办法
qq_39940390的博客
10-06 1432
Python2.7安装cleverhans==3.0.1的解决办法,NNIF论文复现。
对抗样本代码问题总结(持续更新~)
shuweishuwei的博客
02-09 2773
1、shuffle=True用于打乱数据集,每次都会以不同的顺序返回 2、data_clean() 数据清洗,排除一些无法输入的数据 3、pretrained=True远程获取已训练好的模型参数 4、item()取出单元素张量的元素值并返回该值,保持原元素类型不变。,即:原张量元素为整形,则返回整形,原张量元素为浮点型则返回浮点型 5、img = img.convert("RGB") 将4通道改为3通道 6、torch.tensor.detach():从计算图中分类,并返回一个新的张量,并且这个新
阅读小结:NIC模型
进击的阿四
10-14 4868
阅读小结:Show and Tell: A Neural Image Caption Generator
CNN笔记(CS231N)——训练神经网络II(Training Neural Networks, Part 2)
shanwenkang的博客
02-01 385
训练神经网络 我们接着上一讲继续,这一讲主要讲的是优化、正则化与迁移学习 高级优化 我们首先来看看传统的随机梯度优化有什么问题,如果损失函数在一个维度上梯度比较小,在另一个维度上梯度比较大,那么这种情况下就会出现沿着梯度小的维度变化缓慢,另一个方向变化迅速,出现如下图这种震荡现象导致收敛缓慢 除此以外就是局部最小值与驻点的问题,局部最小值在多维特征的情况下出现的几率比较小,最常见的是驻...
windows nic
最新发布
12-27
Windows NIC(网络接口卡)是指在Windows操作系统中使用的网络接口卡。在Windows中,可以使用Intel NIC Teaming来实现多个网卡的组合和管理。Intel NIC Teaming是一种将多个网卡组合成一个逻辑网卡的技术,以提高...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值