CS231n 笔记- 对抗模型和对抗训练

已于 2022-09-10 14:43:00 修改
阅读量1.2k 收藏 5
点赞数 2
分类专栏: CS231n笔记 文章标签: servlet java html
于 2022-08-27 18:20:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iwill323/article/details/126555751
版权
本文探讨了对抗样本的概念,指出它们是由于模型的线性特性导致的系统性问题。介绍了如何构造和理解对抗样本,以及对抗样本在现实世界中的应用,如欺骗AI系统。虽然对抗训练能提供一定的防御,但防御对抗样本仍是一个挑战。
摘要由CSDN通过智能技术生成

目录

对抗样本案例

对抗干扰是系统性问题

 对抗干扰是欠拟合

构造对抗样本

对抗样本的迁移率

现实中的应用

 防御

对抗训练

 Virtual Adversarial Training

 总结

对抗样本案例

大熊猫的图像加上微小的扰动,人眼看不出来区别,但是模型把最右边的图片分类成长臂猿,而且置信度还比他之前把图片分类成大熊猫的置信度还高

对抗干扰是系统性问题

扰动导致模型分类出错有点类似于过拟合问题:模型能够很好地适应训练集,但是对测试集是未知的,所以可能随机犯错。如下图,O和X符号代表样本,区域代表模型得出的分类区域(由于过拟合,所以区域形状很别扭)。最左和最右的X和O是对抗样本,模型判断失误了,所以标红。如果真的是过拟合导致的分类失误,那么重新拟合一次模型或者拟合一个不一样的模型,我们会期望在测试集上的点随机地犯错误。但结果是,不同的模型容易在同一个对抗样本上犯错,并且会指定同样的类给他们。将原始样本和对抗样本的区别(输入空间上的offset向量)与clean example相加,几乎总能得到一个对抗样本.

对抗干扰源于线性

对抗干扰更像是欠拟合,而不是过拟合。比如下图中模型是线性的,决策边界本应该是C形的,没有拟合出来。对于决策边界很远的区域,模型对分类结果有很高的置信度,但分类结果就是错的。这和上面大熊猫的例子挺类似。

根据Ian Goodfellow,神经网络主要是基于线性块构建的,从输出到输出的映射是(分段)线性的,从参数到输出的映射是非线性的。这些线性函数很容易优化,不幸的是,如果一个线性函数具有许多输入,那么它的值可以非常迅速地改变。如果我们用 ϵ 改变每个输入,那么权重为w 的线性函数可以改变 ϵ ∥w∥1 之多,如果 w 是高维的这会是一个非常大的数。

他的意思是深度学习在对抗样本上的表现类似于下图的规律:对抗样本的产生是因为,模型线性程度过高(far too linear)。换句话说,线性模型容易受到攻击

最低0.47元/天 解锁文章
iwill323
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
生成对抗网络模型
12-26
生成对抗网络GAN网络的原理,进展,方向。综述的比较详细了
对抗样本对抗训练
热门推荐
cdpac的博客
12-07 3万+
本文将会介绍对抗样本对抗训练的相关知识(请将此对抗训练与Ian Goodfellow的生成对抗网络区别开来)。综合Ian Goodfelow在Burkeley CS 294-131的deeplearning topic上面的讲义,我将从以下几个方面介绍: 什么是对抗样本? 它们是怎么出现的? 它们是怎么危害到机器学习系统? 有什么办法防范? 怎样使用对抗样本训练机器学习?
[学习日志]深度学习-李宏毅 对抗模型
gjh1716718326的博客
01-28 900
对抗模型的意义 必然有人会对现存的模型发起攻击,比如那些发送广告邮件的人会攻击识别垃圾邮件的模型 因此模型需要有一定的能力去应对可能的恶意攻击 内容分为两部分:如何攻击\如何防御 如何攻击 攻击的目的就是在原本正确的模型上,给输入量加入一个人为制造的特殊变量,使得结果发生错误. 问题是如何找到这个认为制造的特殊变量呢? 无目标攻击 - 希望和正确答案越远越好 攻击和训练的区别在于,训练的时候x是固定的θ是更新改变的,攻击的时候x是更新改变的θ是固定的 有目标攻击 - 希望离正确越远且离错误答案越近越好
生成对抗模型
whaosoft143ai的博客
11-13 1254
除此之外,可变形卷积通过学习偏移量来改变传统几何结构,进而捕获远程依赖,但其卷积算子的大小是固定的,即单次计算的像素数量是受限的。当然在添加之前,为了简化空间信息,滤去不必要的细节特征,如颜色、形状、姿态等,作者将特征集沿通道方向平均池化,这样既保留了元数据的基本信息,又对生成模型起到较好的帮助作用。另外,传统的生成器为实现更高的性能,常常是高度复杂的,这为训练或推理带来一定压力。综上,本文提出了一种拥有可调整的动态感受野方法,同时突出了像素之间的负关系,并通过设计新的生成策略,进一步稳定和加快训练过程。
2017CS231n笔记_S16对抗样本对抗训练
KKALL1314的博客
02-14 463
对抗样本对抗样本是用心构造出来的会被分错类的样本。使用对抗样本来攻击深度卷积网络,使得它出错。对抗样本可以欺骗很多种线性模型,包括逻辑回归和支持向量机。对抗样本也可以欺骗非线性模型对抗样本的产生是因为模型线性程度过高。 对抗样本的寻找:找到一个和梯度方向能形成很大的内积的方向,然后只要大概沿着这个方向移动一点,就能找到对抗样本,欺骗网络模型对抗区域:对抗样本所在的区域称为对抗区域/对抗...
机器学习中对抗性攻击的介绍和示例
deephub
09-07 3638
让我们攻击机器学习模型,让他把猫识别成柠檬。 概念 对抗样本是专门设计的输入,旨在欺骗机器学习 (ML) 模型,从而导致高置信度的错误分类。 有趣的是这种方式对图像所做的修改虽然温和,但足以欺骗 ML 模型。 在这篇文章中,我想展示微小的变化如何导致灾难性的影响。 下图总结了对抗性攻击的过程: 考虑上面的猫的图像,我们添加了一个小的扰动,经过计算使图像被高置信度地识别为柠檬。 更具体地说,我们将获取图像并计算相对于所需标签的损失(在本例中为“柠檬”)。 我们获得输入图像计算的梯度,并将其乘以一些小的常数
李宏毅——对抗模型 attack and defence
shaoyue1234的专栏
09-19 1083
李宏毅——对抗模型 attack and defencemotivationattack例子如何找出特制的噪声限制how to Attack实例方法FGSM(Fast Gradient Sign Method)白盒和黑盒黑盒攻击 motivation 想在脱离实验室,实际环境中使用 在 强:要对噪音robust 对付来自人类的恶意:要对恶意的骗过机器的数据robust 侦测带有恶意的东西:垃圾邮件...
2023最新CS231N课程笔记
01-12
同时,也会讨论如何设计和训练CNN模型,包括损失函数的选择、反向传播算法以及优化策略。 三、深度学习与数据预处理 在实际应用中,数据预处理是提高模型性能的关键步骤。课程将涵盖数据增强技术,如旋转、裁剪、...
斯坦福cs231n课程笔记pdf版本,包括note,assignment
07-29
《斯坦福cs231n课程笔记》是深度学习领域极具权威的学习资源,主要涵盖了计算机视觉(Computer Vision)的基础知识和最新技术。该课程由斯坦福大学教授Andrew Ng及其团队讲授,旨在帮助学生理解并掌握图像识别、物体...
斯坦福CS224n(2019最新)课件笔记合集
03-16
序列到序列模型(Seq2Seq)是机器翻译和对话系统的基石,课程详细讲解了其工作原理和训练方法,包括注意力机制(Attention Mechanism)。 5. 预训练模型与BERT BERT(Bidirectional Encoder Representations from...
CS231n Standford 2017Slides.zip
04-06
这门课程在2017年的讲义和幻灯片被收录在这个名为“CS231n Standford 2017Slides.zip”的压缩包中,提供了关于深度学习和计算机视觉领域的丰富知识。 深度学习是一种机器学习的方法,它模仿人脑的工作机制,通过...
李飞飞——计算机视觉——斯坦福CS231.rar
11-15
除了理论知识,该课程还包括大量的编程实践,使用Python和深度学习框架如TensorFlow或PyTorch,帮助学生掌握实际操作技巧,实现计算机视觉模型的构建和训练。 总的来说,《李飞飞——计算机视觉——斯坦福CS231》是...
图像生成--对抗生成模型
qq_54809548的博客
06-15 1041
判别模型的典型代表即为图像分类任务,即给定一个数据,判定他是哪一类。而生成模型的区别在于,给定一个数据,将其生成为预期数据。在数学上,生成模型与判别模型的区别在于:给定观测值x:判别模型旨在判别得到y的概率生成模型旨在根据指定的y得到x的概率。
chapter-16-对抗样本对抗训练
JachinMa的博客
05-29 657
对抗样本 对抗样本即是被用心构造出来,利用算法的漏洞来被错误分类的样本。举个例子,前段时间有人发现,只要手持一类图片,监控设备就无法将你识别为人类。前面的课程也有例子,一幅大象的图片,只要加上微不足道的噪点,算法就会将它识别为别的东西。下面是另一个例子: 左右两个熊猫在人眼看来毫无区别,但在左图加上一个精心构造的缩小了很多倍的看上去毫无意义的图片后,计算机却会将右边的熊猫判别为长臂猿。更有趣的是...
【机器学习】生成式对抗网络模型综述
小哲的博客
12-05 8461
生成式对抗网络模型综述 摘要 生成式对抗网络模型(GAN)是基于深度学习的一种强大的生成模型,可以应用于计算机视觉、自然语言处理、半监督学习等重要领域。生成式对抗网络最最直接的应用是数据的生成,而数据质量的好坏则是评判GAN成功与否的关键。本文介绍了GAN最初被提出时的基本思想,阐述了其一步步演化、改进的动机和基本思想以及原理,从基于模型改进的角度介绍了WGAN,WGAN-GP,LSGAN,f...
NLP领域模型对抗攻击简介
qq_44733706的博客
08-08 1894
攻击NLP模型方法的简单总结
对抗训练(Adversarial training)
rocsoft
09-03 3958
对抗训练最大最小化公式: min⁡θE(x,y)∼D[max⁡Δx∈ΩL(x+Δx,y;θ)] \min_{\theta}\mathbb{E}_{(x,y)\sim\mathcal{D}}\left[\max_{\Delta x\in\Omega}L(x+\Delta x, y;\theta)\right] θmin​E(x,y)∼D​[Δx∈Ωmax​L(x+Δx,y;θ)] D\mathcal{D}D表示训练数据,xxx表示输入,yyy表示标签,θ\thetaθ表示模型参数,L(⋅)L(·)L(⋅)表
对抗机器学习模型
05-04 5744
之前讲的都是白盒攻击,即模型的网络结构我们都是知道的。很神奇的是,我们只要用相同的数据训练某个自定义结构的Proxy模型,在该Proxy模型上做attack,Black模型也能被很好的attack了。机器学习模型很可以会遭到恶意攻击,比较直接就能想到的如:人脸识别模型的攻击。训练出具有对抗性的机器学习模型,在业务系统存在着越来越重要的实际意义。FGSM(fast gradient sign method) 是一种非常快捷的attack方法:只进行一次求梯度,并取其各个位上的符号作为结果。
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
最新发布
m0_61086522的博客
07-02 1208
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
模型加固 对抗训练
10-01
模型加固是指对深度学习模型进行对抗训练,以提高其对抗样本攻击的鲁棒性。对抗训练是目前最有效的对抗攻击防御手段之一,但其成本较高且面对通用对抗样本的困难较大。为了解决这些问题,研究者提出了元对抗训练的方法,将对抗训练和元学习相结合,旨在降低训练成本并提高模型的鲁棒性。 在元对抗训练中,模型通过与多个对抗样本集进行交互,从中学习到对抗样本的生成规律,并在后续的训练中加以利用。这样可以使模型在面对未知对抗样本时更具鲁棒性,提高其对抗攻击的抵抗能力。相比传统的对抗训练方法,元对抗训练不仅能够降低训练成本,还可以提高模型的泛化能力,使其在不同环境下都能有效对抗对抗攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值