[论文笔记]Delving into Transferable Adversarial Examples and Black-box Attacks(ICLR2017)

最新推荐文章于 2022-06-02 13:17:50 发布
最新推荐文章于 2022-06-02 13:17:50 发布
阅读量1.6k 收藏 16
点赞数 14
分类专栏: 对抗样本_论文笔记 文章标签: 深度学习 机器学习 计算机视觉 神经网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50705580/article/details/113371638
版权

这篇文章的主要成果:
1.提出了一种集合方法来生成对抗样本(感觉并不是本文的主要贡献,也不是特别有新意,就是把集合思想融入进了对抗样本)
2.正如论文的标题,作者深入分析了对抗样本的迁移性,并做了几何特性的分析,得出了一些比较有意思、且有点反直觉的结论。(几何部分真的太难懂了,人都看晕了)

注:这篇笔记中,蓝框里的是我对原文的一个简单的翻译,其余部分是我对文章的一些小的总结。

目录

0 摘要

DNN的一个有趣的性质是对抗样本的存在,其可以在不同结构的模型中迁移。这些可迁移的对抗样本会严重阻碍DNN应用。过去的工作通常只利用小规模数据集研究迁移性。本文中,我们首次利用大规模数据集及大型模型来进行拓展研究,我们还是首个研究有目标对抗样本与其目标标签的迁移性。我们同时研究无目标攻击和有目标攻击,结果显示可迁移的无目标对抗样本很容易找,有目标攻击很难带着目标标签迁移。因此,我们提出了基于集成的方法来生成可迁移的对抗样本。利用这个方法,有很大比例的对抗样本可以带着目标标签迁移。我们还展示了一些几何学研究来帮助理解可迁移对抗样本。最后,我们展示了基于集成的方法能成功进行黑盒攻击。

1 简介

这章就是介绍了一下什么是对抗样本,现在大家研究的怎么样,哪些没人研究过,然后这篇文章就研究了这些。然后前半部分长篇大论的就没翻,只列了最后总结性的部分

Contributions and organization:
Section2:背景知识及实验设置
Section3:阐述了现有的能生成无目标可迁移对抗样本的方法
Section4:几乎没有现有的方法能够生成可迁移的有目标对抗样本
Section5:提出了一种新颖的基于集合的方法生成对抗样本,是首个能使大部分有目标对抗样本能够在多个模型间迁移的方法。
Section6:首个对ImageNet上训练出的大型模型进行几何特性分析,揭示了一些有趣的发现,例如不同模型的梯度方向是相互正交的。
Section7:首个展示能够在黑盒环境下进行有目标迁移的对抗样本,该对抗样本是利用在ImageNet上训练出的模型制造出来的,并且更值得一提的是,目标模型是Clarifai.com,其标签集与ImageNet的大不相同。

相关工作:对抗样本的迁移性2013年在 Intriguing properties of neural networks.上由Szegedy等人首次提出,其研究了同一数据集上训练出来的不同模型的迁移性以及一个数据集的不相交子集上训练出的不同模型的迁移性。
后续2014年Goodfellow在Explaining and harnessing adversarial examples.上提出将传递性归因于对抗扰动于模型的权重向量高度平行,该假设是在MNIST和CIFAR-10上验证的,本文证实了该假设对于ImageNet上训练的模型无效。
2016年Papernot在a: Transferability in machine learning: from phenomena to black-box attacks using adversarial samples.和b: Practical black-box attacks against deep learning systems using adversarial examples.提出构建一个替代模型来进行黑盒攻击,为了训练该模型,他们开发了一个技术,就是综合一个训练集,并通过查询目标模型来给其进行标签标注。后续,他们研究了深度神经网络与其他决策树、knn等模型间的迁移性。
我们的工作在三方面与Papernot等人不同:第一,在他们的研究中,只有模型和训练过程是黑盒的,训练集和测试集是攻击者掌握的,而本文攻击的模型,训练集,训练过程,测试集都是未知的。第二:这些研究都是基于MNIST和GTSRB等小规模数据集,而本文研究的是大模型及ImageNet等大数据集。第三:我们不通过查询目标系统来构建替代模型。
Moosavi-Dezfooli等人有一个同行且独立的研究,展示了一种能够在各个模型间迁移的“普适性扰动”,利用这种扰动生成的对抗图片可以在ImageNet上的各种模型间迁移。但他们只研究了无目标迁移性,然而我们的工作同时研究了ImageNet上的无目标和有目标攻击。

2 对抗深度学习及迁移性

2.1对抗深度学习问题

这一节就是定义了一下对抗样本问题

2.2:生成对抗样本的方法

本文考虑三类生成方法:基于优化的方法,快速梯度方法,及快速梯度符号方法。每类都分别有无目标和有目标版本。

其实我感觉就是分成了基于优化和基于梯度两类,梯度和梯度符号这两种方法就差了个sign函数。而基于优化的方法其实还是利用了梯度的,只不过是迭代的去利用梯度来生成对抗样本,而快速梯度符号方法(FGSM)只利用了一次梯度(所以叫快速嘛)&#

最低0.47元/天 解锁文章
WhyNot_Zero
关注
  • 14
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Delving Deep into Rectifiers:Surpassing Human-Level Performance
03-12
Delving Deep into Rectifiers:Surpassing Human-Level Performance
【对抗攻击论文笔记】对抗迁移性:Delving Into Transferable Adversarial Examples And Black-Box Attacks
ji_meng的博客
05-29 4134
摘要: 以前的工作主要研究使用小规模数据集的可迁移性。在这项工作中,我们是第一个对大型模型和大规模数据集的可迁移性进行广泛研究的人,我们也是第一个研究目标对抗样本及其目标标签的可迁移性的人。我们研究了非目标对抗样本和目标对抗样本,并表明虽然可转移的非目标对抗样本很容易找到,但使用现有方法生成的目标对抗样本几乎不会随目标标签一起转移。因此,我们提出了新的基于集成的方法来生成可转移的对抗样本。 1.介绍 主要贡献: 对于 ImageNet 模型,我们表明,虽然现有方法可以有效地生成非目标可迁移对抗样本(第 3
对抗样本可转移性与黑盒攻击_学习笔记
热门推荐
Erpim的博客
09-07 1万+
1 
【迁移攻击笔记】模型决策空间の几何规律!集成攻击の提出!DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
weixin_43916250的博客
11-21 1003
核心思路: 单个模型攻击单个模型: 提出失真率RMSD: ①基于优化的(Adam)方法 ②基于梯度的方法(FG,FGS等) 用上面俩种方法产生对抗扰动来迁移攻击,结果为: 非目标: 目标:相当差,几乎没用。增大扰动也不行。 此外,作者还特地验证一下对抗样本最小可转移RMSD,得出结论FG比FGSM更适合转移: 2.重点来了:集成攻击:(用4个白盒模型生成攻击对象攻击一个黑盒模型): ①基...
论文笔记DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
kaguya1004的博客
12-15 816
【摘要】 深层神经网络的一个有趣的特性是存在对抗性样本,它可以在不同的体系结构之间进行转换。这些可转移的通用示例可能严重阻碍基于神经网络的深层次应用。以往的工作主要是利用小规模数据集来研究可移植性。在这项工作中,我们首先对大模型和大规模数据集的可转移性进行了广泛的研究,而且我们也是第一个研究目标敌方示例及其目标标签的可转移性的。我们研究了非针对性和针对性的对抗性例子,并表明虽然可转移的非目标性对抗性示例很容易找到,但是使用现有方法生成的有针对性的对抗性示例几乎不会随目标标签一起转移。因此,我们提出了新的基于
[读论文]Delving into Transferable Adversarial Examples and Black-box Attacks
DonaldSu的博客
04-28 1356
本文内容来源于论文Delving into Transferable Adversarial Examples and Black-box Attacks 论文地址:arxiv: 1611.02770 非目标攻击方法 约束条件: fθ(x⋆)≠yd(x,x⋆)≤B \begin{aligned} f_{\theta}\left(x^{\star}\right) & \neq y ...
2015-Kaiming初始化-Delving Deep into Rectifiers_Surpassing Human-Le
08-03
这篇论文深入探讨了用于图像分类的整流神经网络,从两个方面进行研究。首先,作者提出了一种参数化整流线性单元(Parametric ReLU,PReLU),它扩展了传统的ReLU,并且几乎无需额外的计算成本就能改善模型拟合,同时...
delving-deeper-into-the-decoder-for-video-captioning:用于深入研究视频字幕解码器的源代码-tensorflow source code
03-24
该存储库是名为“的论文的源代码。 该文件已被接受。 编码器-解码器框架是用于视频字幕任务的最流行的范例。 在视频字幕模型的解码器中仍然存在一些不可忽略的问题。 我们提出了三种改善模型性能的方法。 将变差...
Dungeons-and-Delving:我们的德尔弗国防部
05-01
Dunvers和Delving Mod for Delver, 的 ################## !!免责声明!! 我们在此mod中不拥有某些音乐或音频文件。 功劳归功于创作者! ################## 访问以获取有关mod的更多信息! 建议同伴 如何安装 作坊...
Delving into Unbiased Data Processing for Human Pose Estimation.pdf
04-05
The Devil is in the Details: Delving into Unbiased Data Processing for Human Pose Estimation CVPR2020
《Ensemble adversarial black-box attacks against deep learning systems》笔记
孤山的都灵族如果不会打铁怎么办
03-15 488
本文目录摘要基于集成的黑盒攻击方法SCESSPES分析总结 摘要 本文提出了两种基于集成的黑盒攻击策略,分别是selective cascade ensemble strategy (SCES,不知道怎么翻起来信达雅) 和 stack parallel ensemble strategy (SPES,不知道怎么翻起来信达雅)。 基于集成的黑盒攻击方法 本文提出的两种方法都是基于集成的,SCES方法可以理解为串联方法,而SPES可以理解为并串联方法。为什么要采用集成的攻击方法呢?目前的黑盒对抗攻击方法主要还
对抗样本之人机迁移:Adversarial Examples that Fool both Human and Computer Vision
yujianmin1990的专栏
03-18 1805
前言  Goodfellow、Elsayed团队又将对抗样本往前推进了一大步,产生了可以同时迷惑机器和人类的对抗样本,着实让人惊讶。主要是通过对机器识别模型产生迁移对抗样本,从而迷惑人类视觉,让我们看下具体是怎么做到的吧。
机器学习对抗性攻击
CSDN 人工智能
01-04 1万+
随着人工智能和机器学习技术在互联网的各个领域的广泛应用,其受攻击的可能性,以及其是否具备强抗打击能力一直是安全界一直关注的。之前关于机器学习模型攻击的探讨常常局限于对训练数据的污染。由于其模型经常趋向于封闭式的部署,该手段在真实的情况中并不实际可行。在GeekPwn2016硅谷分会场上,来自北美工业界和学术界的顶尖安全专家们针对当前流行的图形对象识别、语音识别的场景,为大家揭示了如何通过构造对抗性...
Delving into Deep Imbalanced Regression论文学习
qq_43349542的博客
09-19 1873
List item
基于GAN的恶意软件对抗样本生成(Python实现)
毕业作品网站
06-02 2736
1.2 恶意软件领域相比图像领域增加的约束在过去六年发表的1600多篇关于对抗ML的论文中,大约有40篇集中在恶意软件上,其中大部分集中在特征空间上2017 blackhathttps://github.com/drhyrum/gym-malwarePE文件(特征空间)进行少量的修改,这些修改不会破坏PE文件格式,也不会改变代码的执行2020 SP揭示了特征空间和问题空间之间的关系,并引入了副作用特征的概念作为反特征映射问题的副产品四种常见于任何问题空间攻击的主要约束类型:(除了攻击目标函数外,所考虑的问
黑盒攻击很难?元学习提高"黑盒对抗攻击"成功率
我爱计算机视觉
04-12 1147
关注公众号,发现CV技术之美本文分享论文『Boosting Black-Box Adversarial Attacks with Meta Learning』,元学习提高黑盒对抗攻击。详细信息如下:论文链接:https://arxiv.org/abs/2203.14607 01 引言在深度学习中,黑盒攻击是对抗攻击中最难的一种攻击方式,它不像白盒攻击可...
[深度学习论文阅读]Delving into Salient Object Subitizing and Detection
guojc学习历程
01-10 1221
论文链接:Delving into Salient Object Subitizing and Detection Abstract   本文将计数与显著性检测两个任务合二为一做一个互补。最终提出一个多任务深层神经网络来做,参数通过AWL(adaptive weight layer)以及一个计数网络进行微调。整个网络可以用bp进行端到端的训练。 1 Introduction sub
Face Paper:Cascade R-CNN: Delving into High Quality Object Detection解读
BigCowPeking
04-20 4769
论文链接:https://arxiv.org/abs/1712.00726  代码链接:https://github.com/zhaoweicai/cascade-rcnn  目标检测真的没东西可做了吗?已经开始关注IOU的最优选择了,不过小的trick,确实提升效果也很显著; 今天给大家介绍一篇个人觉得对detection非常有insight的一篇文章:"Cascade R-CNN: Del...
《Cascade R-CNN: Delving into High Quality Object Detection》论文解析
qq_29462849的博客
07-27 1483
今年的图像领域的顶会CVPR收录了不少目标检测的论文,Cascade R-CNN: Delving into High Quality Object Detection这篇文章关注的是IOU的最优选择,很小的trick,不过在效果上有不错的提升。 摘要 目标检测中,需要确定IOU的阈值来区分正样本和负样本。低的阈值如0.5训练网络,易产生检测噪声,但随着IOU阈值的增加,检测性能会降低。两个主...
MIT的博士毕业论文,关于PLL学习资料,大神写的,值得一看 频率合成器,锁相环、集成电路设计、环路分析、噪声分析MIT的博士
最新发布
11-23
MIT的博士毕业论文,关于PLL学习资料,大神写的,值得一看。 频率合成器,锁相环、集成电路设计、环路分析、噪声分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值