CVPR 2021大赛, 安全AI 之防御模型的「白盒对抗攻击」解析

最新推荐文章于 2024-09-01 16:26:38 发布
最新推荐文章于 2024-09-01 16:26:38 发布
阅读量1.6k 收藏 6
点赞数 2
文章标签: 深度学习 python 机器学习 人工智能 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moxibingdao/article/details/114052672
版权
本文介绍了CVPR 2021安全AI大赛的赛道1,聚焦防御模型的白盒对抗攻击。比赛要求参与者设计攻击算法,评估15个预训练模型的鲁棒性,包括CIFAR-10和ImageNet模型。攻击算法基于模型的logits输出,目标是提高防御模型的分类错误率。提交的攻击代码将根据计算错误率和资源限制进行评测。
摘要由CSDN通过智能技术生成

1 引言

2021年的安全AI挑战者计划的第六期由阿里和CVPR联合推出的竞赛一共分为两个赛道,赛道1是 防御模型的白盒对抗攻击,赛道2是 ImageNet无限制对抗攻击。

比赛链接:

https://tianchi.aliyun.com/s/cb2b6280f50dd95a685e9bb4ce840f4a

(点击文末阅读原文直达)

评估平台:

https://github.com/thu-ml/ares/tree/contest

参与比赛的粉丝,欢迎加入52CV组织的交流群

本文主要是对赛道1的赛题的一些讲解。要知道目前很多对抗防御方法被提出以减轻对抗样本的威胁。但是,其中一些防御可以被更强大或更具针对性的攻击攻破,这使得很难判断和评估当前防御和未来防御的有效性。

本次比赛的目的就是对防御模型进行全面而正确的鲁棒性评估。

挑战者计划第二季总奖金池为200万元,本期总奖金为10万美金,并包含近10万元的奖品福利,奖励如下:

赛事节点:

2 题目赛况

2.1 赛题简介

2.2 数据介绍

比赛方通过15个防御模型测试选手提交的攻击算法,其中包括13个在CIFAR-10上训练的模型和2个在ImageNet上训练的模型,比赛方将会利用CIFAR-10测试集的前1000个数据和ImageNet ILSVRC 2012验证集中随机挑选的1000个数据进行测试。为了方便查阅我将其整理成如下表格:


表1 模型介绍

举办的比赛方很贴心,他们已经将这些模型链接的下载程序https://github.com/thu-ml/ares/tree/contest 中,如下图所示,为各个模型下载的程序。

需要注意的一点是这些预训练好的模型大部分存储在google 的Drive云端中,所以需要梯子来进行下载。

为了能够让大家更加方便的去获取模型我将这13个Cifar-10模型和2个Imagenet模型存放到百度云盘中。下载模型的链接和密码分别为:

  • 链接:https://pan.baidu.com/s/13Je6K5TjNeGiReAtOUBfew

  • 密码:CVPR

2.3 评价指标

本次比赛的提交评测,在主办方提供的ARES评测平台上进行。

平台的链接为:

https://github.com/thu-ml/ares/tree/contest

选手需要提交白盒攻击算法的源代码(不同于以往,之前需要提交对抗样本)。这些提交将会在 范数扰动下进行评测。对于CIFAR-10上的模型,对抗扰动规模是

最低0.47元/天 解锁文章
我爱计算机视觉
关注
腾讯朱雀实验室首度亮相,业内首秀控制神经元构造AI模型后门
Tencent_news的博客
08-24 630
8月19日,国内最权威的信息安全会议之一,第19届XCon安全焦点信息安全技术峰会于北京举行,腾讯朱雀实验室首度亮相公众视野。这个颇有神秘色彩的安全实验室专注于实战攻击技术研究和AI安全技术研究,以攻促防,守护腾讯业务及用户安全。 会上,腾讯朱雀实验室高级安全研究员nEINEI分享了一项AI安全创新研究:模拟实战中的黑客攻击路径,摆脱传统利用“样本投毒”的AI攻击方式,直接控制AI模型的神经元,为模型“植入后门”,在几乎无感的情况下,可实现完整的攻击验证。 这也是国内首个利用AI模型文件直接产生后门效果的
白盒攻击算法
weixin_43327191的博客
06-25 6093
白盒攻击算法 一.概述 分类 对抗样本按照攻击成本可以分为白盒攻击,黑盒攻击和物理攻击白盒攻击 白盒攻击需要完整获取模型,了解模型的结构以及每层的具体参数,攻击者可以控制模型的输入,甚至对输入数据进行比特级别的修改 黑盒攻击 黑盒攻击是把目标模型当做一个黑盒来处理,对模型的内部细节不了解,攻击者仅能控制模型的输入 原理 对抗样本的本质就是在原数据上叠加一些使机器学习模型可接受而人眼无法察觉的细微改变,使得机器学习模型对输入数据产生误判。 从数学的角度看:输入数据xxx,机器学习模型fff,叠
人工智能网络安全挑战赛(AIxCC):超亿元大奖等你来拿!
m0_73736695的博客
02-01 462
2023年底,DARPA开启了一项前所未有的挑战——人工智能网络安全挑战赛(AIxCC),旨在通过技术竞赛探索AI时代下网络安全的新格局。该赛事希望孕育出一种创新的网络安全通用人工智能(AGI)系统,该系统能够智能挖掘、检测和修复关键基础设施的软件安全问题。
CVPR 2021接收论文:AdCo基于对抗的对比学习
我爱计算机视觉
03-08 895
导读:在自监督学习领域,基于contrastive learning(对比学习)的思路已经在下游分类检测和任务中取得了明显的优势。其中如何充分利用负样本提高学习效率和学习效果一直是一个值得...
AI安全前沿:模型攻击防御策略
最新发布
2401_84466359的博客
09-01 1357
在训练阶段,攻击者借助数据投毒的方法,利用带有触发器(trigger)的训练数据将隐藏的后门嵌入深度神经网络(Deep Neural Network, DNN)中,致使给模型良性的样本时,模型会做出正确的预测,而当输入样本中出现攻击者定义好的触发器时,模型中被隐藏的后门会被激活,将输入样本分类到攻击者预先指定的分类中。因此后门攻击属于违反完整性的攻击
CVPR2021-Paper-Code-Interpretation:cvpr2021cvpr2020cvpr2019cvpr2018cvpr2017 论文代码解读直播合集,极市团队整理
05-10
cvpr2021/cvpr2020/cvpr2019/cvpr2018/cvpr2017(Papers/Codes/Project/Paper reading) 论文解读汇总: 论文分类汇总: 2000~2020年历届CVPR最佳论文代码,解读等汇总: 目录 7.CVPR2021最新论文分类汇总(持续更新...
CVPR2021-纸面代码解释:cvpr2021cvpr2020cvpr2019cvpr2018cvpr2017论文,极市团队整理
02-27
cvpr2021 / cvpr2020 / cvpr2019 / cvpr2018 / cvpr2017(论文/代码/项目/论文阅读) 论文解读摘要: ://bbs.cvmart.net/articles/3031论文分类汇总: : 2000〜2020年历届CVPR最佳论文,解释等汇总: ://bbs.cvmart...
繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
繁凡さん的博客
04-17 6077
文章目录Simulating Unknown Target Models for Query-Efficient Black-box Attacks [1]为查询有效的黑盒攻击模拟未知目标模型Abstract0x01 论文总结2. Related Works3. Method3.1. Task Generation3.2. Simulator Learning3.3. Simulator Attack3.4. Discussion4. Experiment4.1. Experiment Setting4.2.
cvpr2021AuthorKit_2.zip
12-07
cvpr2021模板,包括latex、word版本,模板使用bib生成参考文献,包含所需的包\documentclass[review]{cvpr} %\documentclass[final]{cvpr} \usepackage{times} \usepackage{epsfig} \usepackage{graphicx} \...
poisoning_certified_defenses:基于随机平滑的数据中毒防御有多强健? 出现在CVPR 2021
03-31
基于随机平滑的数据中毒防御有多强健? 抽象的 可证明可靠的分类器的预测在一个点附近保持不变,从而使它们在保证测试时间的情况下具有弹性。 在这项工作中,我们提出了对健壮的机器学习模型的前所未有的威胁,突显了训练数据质量在实现高认证健壮性方面的重要性。 具体而言,我们提出了一种基于双层优化的新型数据中毒攻击,该攻击会降低可证明的鲁棒分类器的鲁棒性保证。 与其他数据中毒攻击会降低一小组目标点上的中毒模型的准确性不同,我们的攻击会减少数据集中整个目标类的平均认证半径。 此外,即使受害者使用最新的健壮训练方法(例如, 和从头开始训练模型,我们的攻击也是有效的。 为了使攻击更难检测,我们使用带有明显较小失真的干净标签中毒点。 通过中毒MNIST和CIFAR10数据集并使用前面提到的鲁棒训练方法训练深度神经网络,并使用随机平滑验证其鲁棒性,来评估所提出方法的有效性。 对于使用这些强大的训练方法训练的模型
CVPR2021:VMI-FGSM增强对抗样本可迁移性方法
欢迎来到道的世界
11-07 1087
引言 方法介绍  给定一个带有参数θ\thetaθ的目标分类器fff,一个干净的样本x∈X⊂Rdx\in \mathcal{X} \subset \mathbb{R}^dx∈X⊂Rd。对抗攻击的目标是找到一个对抗样本xadv∈Xx^{adv}\in \mathcal{X}xadv∈X满足如下条件:f(x;θ)≠f(xadv;θ)s.t.∥x−xadv∥<εf(x;\theta)\ne f(x^{adv};\theta)\quad \mathrm{s.t.} \quad \|x-x^{adv}\|&l
5 白盒攻击算法
kking_edc的博客
01-27 1337
1 对抗样本的基本原理 从数学角度来描述对抗样本,输入数据为x,分类器为f,对应的分类结果表示为f(x)。假设存在一个非常小的扰动ϵ\epsilonϵ,使得: f(x+ϵ)≠f(x)f(x+\epsilon)\ne f(x)f(x+ϵ)​=f(x) 即分类结果发生了改变,那么x+ϵx+\epsilonx+ϵ就是一个对抗样本。 以一个例子来说明对抗样本的基本原理: from sklearn import datasets from sklearn.preprocessing import OneHotEnc
CVPR 2021 | 对抗攻防新方向:动作识别算法容易被攻击
BAAIBeijing的博客
06-17 697
智源导读:对抗样本是近年来非常热门的研究问题,但是大多数的研究往往针对于静态数据(图像、文本、几何),然而时序数据上的探索往往较少,本文主要是研究了一种特殊但十分重要的时序数据——骨架动作...
机器学习对抗攻击
热门推荐
CSDN 人工智能
01-04 1万+
随着人工智能机器学习技术在互联网的各个领域的广泛应用,其受攻击的可能性,以及其是否具备强抗打击能力一直是安全界一直关注的。之前关于机器学习模型攻击的探讨常常局限于对训练数据的污染。由于其模型经常趋向于封闭式的部署,该手段在真实的情况中并不实际可行。在GeekPwn2016硅谷分会场上,来自北美工业界和学术界的顶尖安全专家们针对当前流行的图形对象识别、语音识别的场景,为大家揭示了如何通过构造对抗性...
CVPR 2021 | 腾讯AI Lab入选论文解读
腾讯AI实验室
03-30 1852
感谢阅读腾讯 AI Lab 微信号第122篇文章。本文将解读腾讯 AI Lab 入选 CVPR 2021 的13篇论文。CVPR(Conference on Computer Vision...
综述:图数据上的对抗攻击防御
paper_reader的博客
04-27 6833
阅读更多,欢迎关注公众号:论文收割机(paper_reader)原文链接:综述:图数据上的对抗攻击防御 Sun,Lichao,JiWang,PhilipS.Yu,andBoLi."AdversarialAttackandDefenseonGraphData:ASurvey."arXivpreprintarXiv:1812.10528(2018...
CVPR2021 安全AI挑战者计划第六期赛道一方案分享20/1681(开源代码、做题思路)
weixin_43999137的博客
04-22 894
写在前面 CVPR2021Workshop 比赛平台链接???? 这个比赛早早就报名了,也是后面才开始肝的,但一直冲不上前排,也是郁闷了好久。 之前都是在做Imagenet数据集上的工作,对Cifar10了解比较少,所以也是抱着学习的态度。 我的开源链接???? 给出我本人的本次比赛的全部做题思路,避免后来者踩坑。 做题思路的记录 初赛 排名31 3.15 提交一份baseline 44.0733 3.15 把一些迁移黑盒的TI、SIM、Gauss等试了一通,无效果 3.16 调整迭代次数和扰动范围
[work] 什么是对抗攻击
This is bill的专属博客
12-03 4613
谷歌大脑(Google Brain)最近的研究表明,任何机器学习分类器都可能被欺骗,给出不正确的预测。Google Brain是Google内部用于训练大规模深度神经网络的构架,它为用户提供了方便的API。用户能够很容易的在大规模机群上训练神经网络模型。现在的应用几乎遍及Google的所有领域,包括android的语音识别系统,广告推荐系统,图像识别系统,自动驾驶系统。 目前人工智能机器学习技...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值