CVPR 2021大赛, 安全AI 之防御模型的「白盒对抗攻击」解析

最新推荐文章于 2024-02-01 14:27:26 发布
最新推荐文章于 2024-02-01 14:27:26 发布
阅读量1.6k 收藏 6
点赞数 2
文章标签: 深度学习 python 机器学习 人工智能 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moxibingdao/article/details/114052672
版权
本文介绍了CVPR 2021安全AI大赛的赛道1,聚焦防御模型的白盒对抗攻击。比赛要求参与者设计攻击算法,评估15个预训练模型的鲁棒性,包括CIFAR-10和ImageNet模型。攻击算法基于模型的logits输出,目标是提高防御模型的分类错误率。提交的攻击代码将根据计算错误率和资源限制进行评测。
摘要由CSDN通过智能技术生成

1 引言

2021年的安全AI挑战者计划的第六期由阿里和CVPR联合推出的竞赛一共分为两个赛道,赛道1是 防御模型的白盒对抗攻击,赛道2是 ImageNet无限制对抗攻击。

比赛链接:

https://tianchi.aliyun.com/s/cb2b6280f50dd95a685e9bb4ce840f4a

(点击文末阅读原文直达)

评估平台:

https://github.com/thu-ml/ares/tree/contest

参与比赛的粉丝,欢迎加入52CV组织的交流群

本文主要是对赛道1的赛题的一些讲解。要知道目前很多对抗防御方法被提出以减轻对抗样本的威胁。但是,其中一些防御可以被更强大或更具针对性的攻击攻破,这使得很难判断和评估当前防御和未来防御的有效性。

本次比赛的目的就是对防御模型进行全面而正确的鲁棒性评估。

挑战者计划第二季总奖金池为200万元,本期总奖金为10万美金,并包含近10万元的奖品福利,奖励如下:

赛事节点:

2 题目赛况

2.1 赛题简介

2.2 数据介绍

比赛方通过15个防御模型测试选手提交的攻击算法,其中包括13个在CIFAR-10上训练的模型和2个在ImageNet上训练的模型,比赛方将会利用CIFAR-10测试集的前1000个数据和ImageNet ILSVRC 2012验证集中随机挑选的1000个数据进行测试。为了方便查阅我将其整理成如下表格:


表1 模型介绍

举办的比赛方很贴心,他们已经将这些模型链接的下载程序https://github.com/thu-ml/ares/tree/contest 中,如下图所示,为各个模型下载的程序。

需要注意的一点是这些预训练好的模型大部分存储在google 的Drive云端中,所以需要梯子来进行下载。

为了能够让大家更加方便的去获取模型我将这13个Cifar-10模型和2个Imagenet模型存放到百度云盘中。下载模型的链接和密码分别为:

  • 链接:https://pan.baidu.com/s/13Je6K5TjNeGiReAtOUBfew

  • 密码:CVPR

2.3 评价指标

本次比赛的提交评测,在主办方提供的ARES评测平台上进行。

平台的链接为:

https://github.com/thu-ml/ares/tree/contest

选手需要提交白盒攻击算法的源代码(不同于以往,之前需要提交对抗样本)。这些提交将会在 范数扰动下进行评测。对于CIFAR-10上的模型,对抗扰动规模是

最低0.47元/天 解锁文章
我爱计算机视觉
关注
腾讯朱雀实验室首度亮相,业内首秀控制神经元构造AI模型后门
Tencent_news的博客
08-24 625
8月19日,国内最权威的信息安全会议之一,第19届XCon安全焦点信息安全技术峰会于北京举行,腾讯朱雀实验室首度亮相公众视野。这个颇有神秘色彩的安全实验室专注于实战攻击技术研究和AI安全技术研究,以攻促防,守护腾讯业务及用户安全。 会上,腾讯朱雀实验室高级安全研究员nEINEI分享了一项AI安全创新研究:模拟实战中的黑客攻击路径,摆脱传统利用“样本投毒”的AI攻击方式,直接控制AI模型的神经元,为模型“植入后门”,在几乎无感的情况下,可实现完整的攻击验证。 这也是国内首个利用AI模型文件直接产生后门效果的
白盒攻击算法
weixin_43327191的博客
06-25 6058
白盒攻击算法 一.概述 分类 对抗样本按照攻击成本可以分为白盒攻击,黑盒攻击和物理攻击白盒攻击 白盒攻击需要完整获取模型,了解模型的结构以及每层的具体参数,攻击者可以控制模型的输入,甚至对输入数据进行比特级别的修改 黑盒攻击 黑盒攻击是把目标模型当做一个黑盒来处理,对模型的内部细节不了解,攻击者仅能控制模型的输入 原理 对抗样本的本质就是在原数据上叠加一些使机器学习模型可接受而人眼无法察觉的细微改变,使得机器学习模型对输入数据产生误判。 从数学的角度看:输入数据xxx,机器学习模型fff,叠
人工智能网络安全挑战赛(AIxCC):超亿元大奖等你来拿!
最新发布
m0_73736695的博客
02-01 458
2023年底,DARPA开启了一项前所未有的挑战——人工智能网络安全挑战赛(AIxCC),旨在通过技术竞赛探索AI时代下网络安全的新格局。该赛事希望孕育出一种创新的网络安全通用人工智能(AGI)系统,该系统能够智能挖掘、检测和修复关键基础设施的软件安全问题。
CVPR 2021接收论文:AdCo基于对抗的对比学习
我爱计算机视觉
03-08 892
导读:在自监督学习领域,基于contrastive learning(对比学习)的思路已经在下游分类检测和任务中取得了明显的优势。其中如何充分利用负样本提高学习效率和学习效果一直是一个值得...
CVPR2021:VMI-FGSM增强对抗样本可迁移性方法
欢迎来到道的世界
11-07 1078
引言 方法介绍  给定一个带有参数θ\thetaθ的目标分类器fff,一个干净的样本x∈X⊂Rdx\in \mathcal{X} \subset \mathbb{R}^dx∈X⊂Rd。对抗攻击的目标是找到一个对抗样本xadv∈Xx^{adv}\in \mathcal{X}xadv∈X满足如下条件:f(x;θ)≠f(xadv;θ)s.t.∥x−xadv∥<εf(x;\theta)\ne f(x^{adv};\theta)\quad \mathrm{s.t.} \quad \|x-x^{adv}\|&l
CVPR2021-Paper-Code-Interpretation:cvpr2021cvpr2020cvpr2019cvpr2018cvpr2017 论文代码解读直播合集,极市团队整理
05-10
cvpr2021/cvpr2020/cvpr2019/cvpr2018/cvpr2017(Papers/Codes/Project/Paper reading) 论文解读汇总: 论文分类汇总: 2000~2020年历届CVPR最佳论文代码,解读等汇总: 目录 7.CVPR2021最新论文分类汇总(持续更新...
CVPR2021-纸面代码解释:cvpr2021cvpr2020cvpr2019cvpr2018cvpr2017论文,极市团队整理
02-27
cvpr2021 / cvpr2020 / cvpr2019 / cvpr2018 / cvpr2017(论文/代码/项目/论文阅读) 论文解读摘要: ://bbs.cvmart.net/articles/3031论文分类汇总: : 2000〜2020年历届CVPR最佳论文,解释等汇总: ://bbs.cvmart...
繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
繁凡さん的博客
04-17 6066
文章目录Simulating Unknown Target Models for Query-Efficient Black-box Attacks [1]为查询有效的黑盒攻击模拟未知目标模型Abstract0x01 论文总结2. Related Works3. Method3.1. Task Generation3.2. Simulator Learning3.3. Simulator Attack3.4. Discussion4. Experiment4.1. Experiment Setting4.2.
poisoning_certified_defenses:基于随机平滑的数据中毒防御有多强健? 出现在CVPR 2021
03-31
基于随机平滑的数据中毒防御有多强健? 抽象的 可证明可靠的分类器的预测在一个点附近保持不变,从而使它们在保证测试时间的情况下具有弹性。 在这项工作中,我们提出了对健壮的机器学习模型的前所未有的威胁,突显了训练数据质量在实现高认证健壮性方面的重要性。 具体而言,我们提出了一种基于双层优化的新型数据中毒攻击,该攻击会降低可证明的鲁棒分类器的鲁棒性保证。 与其他数据中毒攻击会降低一小组目标点上的中毒模型的准确性不同,我们的攻击会减少数据集中整个目标类的平均认证半径。 此外,即使受害者使用最新的健壮训练方法(例如, 和从头开始训练模型,我们的攻击也是有效的。 为了使攻击更难检测,我们使用带有明显较小失真的干净标签中毒点。 通过中毒MNIST和CIFAR10数据集并使用前面提到的鲁棒训练方法训练深度神经网络,并使用随机平滑验证其鲁棒性,来评估所提出方法的有效性。 对于使用这些强大的训练方法训练的模型
EWR-PGD:白盒对抗攻击
05-24
高效的暖启动预计梯度下降(EWR-PGD) 我们提出了一种新的名为EWR-PGD的白盒对抗攻击方法,该方法超越了最新的攻击性能。 它比最新的方法更有效。 代码即将推出。 EWR-PGD和ODI-PGD的比较 当将模型降低到相同的精度时,EWR-PGD所需的重新启动次数明显少于ODI-PGD的重新启动次数。 EWR-PGD的速度大约是ODI-PGD的5倍。 图1.在10个最新的防御模型上,当EWR-PGD和ODI-PGD方法将模型降低到相同精度时,所需重启次数的比较(越低越好)。 这些模型可在线获得: 3个白盒排行榜上的结果 EWR-PGD在TRADES白盒MNIST和CIFAR-10排行榜上排名第一,将MNIST模型的准确性降低到92.52%,将CIFAR-10模型的准确性降低到52.95%。 EWR-PGD在MardyLab的CIFAR-10白名单排行榜中也排名第一,将其CI
深度学习对抗攻击防御方法综述_笔记
仙猪的博客
09-22 4836
一、概述 由于深度学习广泛的应用,深度学习模型安全问题也受到普遍关注,模型算法的安全隐患更是加剧了被对抗样本欺骗以及隐私泄露等安全风险。 现有的对抗攻击方法主要面向对抗样本的生成方法以及最终达到对模型攻击的成功率。而对抗防御主要 分为基于对抗样本的检测与提高模型鲁棒性两个方 面。 本文主要介绍对抗样本的概念以及产生原因、对抗样本的可迁移性;详细分析现阶段经典的生成对抗样本的方法以及检测手段,并论述针对上述手段的防御策略。通过梳理分析较为先进的对抗应用方法,预测该领域未来的研究方向。 二、
CVPR2021 安全AI挑战者计划第六期赛道一方案分享20/1681(开源代码、做题思路)
weixin_43999137的博客
04-22 891
写在前面 CVPR2021Workshop 比赛平台链接???? 这个比赛早早就报名了,也是后面才开始肝的,但一直冲不上前排,也是郁闷了好久。 之前都是在做Imagenet数据集上的工作,对Cifar10了解比较少,所以也是抱着学习的态度。 我的开源链接???? 给出我本人的本次比赛的全部做题思路,避免后来者踩坑。 做题思路的记录 初赛 排名31 3.15 提交一份baseline 44.0733 3.15 把一些迁移黑盒的TI、SIM、Gauss等试了一通,无效果 3.16 调整迭代次数和扰动范围
CVPR 2021 | 对抗攻防新方向:动作识别算法容易被攻击
BAAIBeijing的博客
06-17 693
智源导读:对抗样本是近年来非常热门的研究问题,但是大多数的研究往往针对于静态数据(图像、文本、几何),然而时序数据上的探索往往较少,本文主要是研究了一种特殊但十分重要的时序数据——骨架动作...
机器学习对抗攻击
CSDN 人工智能
01-04 1万+
随着人工智能机器学习技术在互联网的各个领域的广泛应用,其受攻击的可能性,以及其是否具备强抗打击能力一直是安全界一直关注的。之前关于机器学习模型攻击的探讨常常局限于对训练数据的污染。由于其模型经常趋向于封闭式的部署,该手段在真实的情况中并不实际可行。在GeekPwn2016硅谷分会场上,来自北美工业界和学术界的顶尖安全专家们针对当前流行的图形对象识别、语音识别的场景,为大家揭示了如何通过构造对抗性...
论文笔记: 对抗样本 CVPR2021 Enhance Transferability of Adversarial Attacks through Variance Tuning
weixin_43184082的博客
08-23 3418
这里写自定义目录标题Abstract 摘要1. Introduction 引言背景引入2. 相关工作 Related Work 论文作者: Xiaosen Wang Kun He 作者单位: School of Computer Science and Technology, Huazhong University of Science and Technology 作者邮箱: {xiaosen,brooklet60}@hust.edu.cn 源代码:https://github.com/JHL-HUS
AI安全对抗赛:给你的人工智能装上杀毒软件
PaddlePaddle
11-11 772
2016年,AlphaGo战胜李世石,人工智能开始为大众所知。而在计算机视觉领域有个著名的数据集ImageNet,是一个用于测试计算机视觉系统识别能力的“题库”,这些题目...
CVPR 2021 论文和开源项目合集(Papers with Code)
weixin_40920183的博客
03-11 2186
CVPR 2021 论文开源目录】https://github.com/amusi/CVPR2021-Papers-with-CodeBackboneNASGANVisual Trans...
什么是对抗样本、对抗攻击(详解)
热门推荐
10-18 2万+
1.对抗样本 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2.对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗攻击主要.
连续图像生成对抗网络:CVPR2021新进展
"这篇论文是关于Adversarial Generation of Continuous Images的研究,发表于CVPR 2021,由Ivan Skorokhodov、Savva Ignatyev和Mohamed Elhoseiny共同撰写,来自King Abdullah University of Science and Technology...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值