CAAD2018对抗样本攻防赛: NON-TARGETED ATTACK第二名

最新推荐文章于 2022-05-05 15:59:25 发布
最新推荐文章于 2022-05-05 15:59:25 发布
阅读量873 收藏 2
点赞数
分类专栏: 对抗样本 文章标签: 对抗样本 CAAD2018 无目标攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33209019/article/details/90271234
版权

基于图像重建的对抗样本无目标攻击方法

论文:中科院的Dlight团队
无目标攻击算法架构

生成模块

生成模块这一部分和17年比赛中的ATN(Adversarial Transformation Network)一样,是Encoder-Decoder结构,输出图像和输入尺寸相同。
作者给的代码中,用了Inception_Resnet_V2的前一部分作为Encoder,由卷积和池化层组成,输出为maxpool_5a层的输出。输入3 *299 *299时,输出尺寸为192 *35 *35。
Decoder的代码如下:

class Decoder(nn.Module):

    def __init__(self):
        super(Decoder, self).__init__()
        
        self.upconv1=torch.nn.ConvTranspose2d(192, 512, kernel_size=4, stride=2 ,output_padding=1, bias=False)
        self.upconv5=torch.nn.ConvTranspose2d(512, 512, kernel_size=3, stride=1 ,padding=1, bias=False)
        self.upconv2=torch.nn.ConvTranspose2d(512, 256, kernel_size=3, stride=2 ,output_padding=1, bias=False)
        self.upconv6=torch.nn.ConvTranspose2d(256, 256, kernel_size=3, stride=1 ,padding=1, bias=False)
        self.upconv3=torch.nn.ConvTranspose2d(256, 128, kernel_size=4, stride=2 ,output_padding=1, bias=False)
        self.upconv4=torch.nn.ConvTranspose2d(128, 3, kernel_size=3, stride=1 ,padding=1, bias=False)
        self.relu = nn.ReLU(inplace=False)
        self.tanh=torch.nn.Tanh()
        
    def forward(self, input):
        x = self.relu(self.upconv1(input))
        x = self.relu(self.upconv5(x))
        x = self.relu(self.upconv2(x))
        x = self.relu(self.upconv6(x))
        x = self.relu(self.upconv3(x))
        x = self.tanh(self.upconv4(x))
        return x

一波反卷积实现上采样,输出三通道的299*299图像。

鲁棒增强模块(Robust-Enhance)

为了增强对对抗训练和图像预处理的防御方法的鲁棒性,作者在生成模块之后加入了鲁棒增强模块。
在该模块中应用了三种图像处理方法:
1、加入随机噪声
2、预训练Filter:将图像输入一个预训练的网络模型,参数固定
3、训练Filter:将图像输入一个预训练的网络模型,且模型在训练过程中参与训练

loss函数

  1. Feature-based
    Feature-based loss函数
    计算干净图片和对抗样本在目标网络中的feature的L1距离
  2. Prediction-based
    Prediction-based loss函数
    上面的loss函数意义为:
    当生成的图片最大预测值fir对应的是正确标签时,要使生成图片在目标网络中的fir概率值减小,sec概率值增大。
    当生成的图片最大预测值fir对应的不是正确标签时,要使生成图片在目标网络中的fir概率值增大,sec概率值减小。
    这样能使生成的图像被目标模型误分类。

攻击集成模型

集成loss
用每个目标网络计算的loss的和,作为集成loss指导网络训练。每个loss前有一个集成权重,用来维持不同模型梯度大小的平衡。
loss控制
为了避免生成模型倾向于某一个目标模型,作者添加了一个阈值来控制loss的最大值。

卿寻
关注
专栏目录
对抗样本攻防战,清华大学TSAIL团队再获CAAD攻防第一
weixin_30636089的博客
10-02 456
最近,在全球安全领域的殿堂级盛会 DEF CON 2018 上,GeekPwn 拉斯维加斯站举行了 CAAD CTF 邀请,六支由国内外顶级 AI 学者与研究院组成的队伍共同探讨以对抗训练为攻防手段的 CTF。TSAIL 团队的庞天宇、杜超作为代表获得该项比的冠军,参加比的骨干成员还包括董胤蓬、韦星星等,TSAIL 团队来自于清华大学人工智能研究院,主要研究领域为机器学习。 同...
[读论文]CAAD-2018 Targeted Attack方向季军技术报告
Donald Su
08-14 605
这次分享的是CAAD-2018比中Northwest Security团队的技术报告,该团队在此次比中取得了了targeted Attack 方向第三名,non-targeted Attack方向第四名的成绩。 题目:Leverage Open-Source Information To Make An Effective Adversarial Attack Against Deep Le...
对抗样本(攻防冠军分享)
Enjoy_endless
05-19 2999
NIPS 2017对抗样本攻防冠军廖方舟的算法分享 清华大学化学生物学学士,清华大学生医系在读博士。研究兴趣:计算神经学、机器学习、计算机视觉。参加过多次Kaggle比,曾获2017年“数据科学碗”第一名,Data Science Bowl第一名,NIPS 2017对抗样本攻防第一名。 对抗样本是一类被恶意设计来攻击机器学习模型的样本。它们与真实样本的区别几乎无法用肉眼分辨,但是却会导致模...
【信息与内容安全】实验一:对抗样本攻击实验
框架科工:Framecraft
05-05 3055
对抗性样本攻击实验 摘要:根据 PyTorch 官网教程中 Adversarial Example Generation 章节内容,完整实现 Fast Gradient Sign Attack (FGSM) 算法。 文章目录对抗性样本攻击实验题目描述欺骗模型的方法FGSM 快速梯度符号攻击原理介绍FGSM 实现受攻击的模型FGSM 攻击函数测试攻击效果函数实施攻击结果分析准确性 vs ϵ\epsilonϵ对抗样本实例参考 题目描述 根据PyTorch官网教程中Adversarial Example Gene
清华朱军团队包揽三项冠军 | NIPS 2017对抗样本攻防总结(附学习资料)
数据派THU
05-05 3285
来源:AI科技评论作者:高云河本文共8989字,建议阅读10分钟。本次比总结由谷歌大脑、清华大学以及其它参与研究人员们联合撰写,为你介绍NIPS 2017 对抗样本攻防...
arnold对彩色图像解密方法matlab实现代码-Adversarial-Face-Attack:对人脸识别系统的黑匣子对抗攻击
05-25
对抗攻击和防御竞)2018是一项竞,它继承了NIPS CAAD 2017的格式以及一些新挑战。 在2018年10月,我和我被邀请参加Geekpwn CAAD比,这是一场具有不同类型的对抗攻击和防御的现场比。 该CAAD CTF具有一项...
CAAD-数读地产2019年刊-2020.2-28页.pdf
04-23
在解读《CAAD-数读地产2019年刊》这份报告时,我们可以提炼出以下房地产市场的关键知识点: 1. 数据分析与指数: - 报告利用了中估数库的房地产价格数据库,综合调研分析得出各城市的存量住宅价格。 - 基于基准...
CAAD-数读地产11月刊-2019.11-30页.rar
09-10
CAAD-数读地产11月刊-2019.11-30页》是一份关于房地产行业的专业报告,旨在通过数据分析揭示2019年11月中国房地产市场的关键趋势、热点问题以及未来展望。这份30页的报告深入探讨了房地产市场的各个方面,包括但不...
CAAD-数读地产2019年刊-2020.2-28页.rar
09-17
CAAD-数读地产2019年刊》是一份综合性的报告,它详尽地分析了2019年中国房地产市场的各项关键数据和趋势。这份报告在2020年2月发布,共有28页,为读者提供了丰富的信息和洞察,帮助理解和解读地产行业的最新动态。...
Generating Adversarial Examples with Adversarial Networks
MTandHJ的博客
06-16 854
文章目录概主要内容black-box 拓展 Xiao C, Li B, Zhu J, et al. Generating Adversarial Examples with Adversarial Networks[J]. arXiv: Cryptography and Security, 2018. @article{xiao2018generating, title={Generating Adversarial Examples with Adversarial Networks}, author
生成对抗样本的方法|攻击方法
honor
07-03 9159
对抗样本 1.Biggio′s attack Biggio[22]等人首先针对传统机器学习分类器(如SVM和三层全连接神经网络)的MNIST手写数字识别数据集生成对抗样本。 它通过优化判别函数来误导分类器。 2. Szegedy′s limited-memory BFGS (L-BFGS) attack Szegedy[8]等人首次证明了可以通过对图像添加小量的人类察觉不到的扰动误导深度神经网络图像分类器做出错误的分类。他们首先尝试求解让神经网络做出误分类的最小扰动的方程。作者认为,深度神经网络所具有的强大
pytorch 对抗样本_【天池大】通用目标检测的对抗攻击方法一览
weixin_35697229的博客
12-12 1420
目标检测对抗攻击题:1000张图,在图上贴补丁,最多不超过10个,导致检测框失效就算得分。比链接:https://tianchi.aliyun.com/competition/entrance/531806/information数据描述:从MSCOCO 2017测试数据集中有条件的筛选了1000张图像,这些图像不会包含过多或者过少的检测框(至少会有一个检测框),并且检测框的面积相对...
对抗攻击相关术语
10-10 1478
在阅读对抗攻击相关文献的时候,经常遇到一些专业术语,经过查找资料在这里整理下相关笔记。 1.对抗样本/图片(Adversarial Example/Image) 对抗样本/图片指的是在原始样本添加一些人眼无法察觉的噪声,这样的噪声不会影响人类的识别,但是却很容易愚弄模型,使其做出与正确答案完全不同的判定。 2.对抗干扰(Adversarial perturbation) 使得原始图片成为对抗样本所需要添加的噪声。 3.对抗训练(Adversarial Training) 除了原始图片样本之外还使
对抗样本与生成式对抗网络
BE A CREATOR
08-13 2万+
最近一个月,人工智能领域听的最多的名词之一,莫过于对抗样本对抗性网络,从最开始Yann LeCun在Quora上直播时表示生成对抗性网络近期人工智能最值得期待的算法之一,到近日生成对抗性网络的发明者Ian Goodfellow在Quora上直播讲述自己的学习经历和研究,而对比起LeCun, Ian Goodfellow的知名度可能没有那么高,但是Goodfellow是Yoshua Bengio的学生,前Google科学家,现在被Elon Musk招到OpenAI做科学家。 那到底什么是对抗样本
【论文笔记】DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
kaguya1004的博客
12-15 857
【摘要】 深层神经网络的一个有趣的特性是存在对抗性样本,它可以在不同的体系结构之间进行转换。这些可转移的通用示例可能严重阻碍基于神经网络的深层次应用。以往的工作主要是利用小规模数据集来研究可移植性。在这项工作中,我们首先对大模型和大规模数据集的可转移性进行了广泛的研究,而且我们也是第一个研究目标敌方示例及其目标标签的可转移性的。我们研究了非针对性和针对性的对抗性例子,并表明虽然可转移的非目标对抗性示例很容易找到,但是使用现有方法生成的有针对性的对抗性示例几乎不会随目标标签一起转移。因此,我们提出了新的基于
对抗样本对抗训练
热门推荐
cdpac的博客
12-07 3万+
本文将会介绍对抗样本对抗训练的相关知识(请将此对抗训练与Ian Goodfellow的生成对抗网络区别开来)。综合Ian Goodfelow在Burkeley CS 294-131的deeplearning topic上面的讲义,我将从以下几个方面介绍: 什么是对抗样本? 它们是怎么出现的? 它们是怎么危害到机器学习系统? 有什么办法防范? 怎样使用对抗样本训练机器学习?
各种代码在各种模型下的正确率(对抗样本
weixin_43999137的博客
08-30 721
2018年CAAD冠军代码在各种模型下的正确率(以下仅个人准备比时进行测试的数据) 在inception_v3模型下 冠军代码没有集成这个~ 在adv_inception_v3模型下 在ens3_adv_inception_v3模型下 在ens4_adv_inception_v3模型下 在ens_adv_inception_resnet_v2模型下 在adv_inception_re...
任何机器学习分类器都可以被欺骗!一文解析对抗攻击是如何工作的
雷克世界
10-19 4019
原文来源:XIX.ai 作者:Roman Trusov 「雷克世界」编译:嗯~阿童木呀、多啦A亮 本文大约5100字,阅读时长大约13分钟 Google Brain最新的研究结果表明,任何机器学习分类器都可以被欺骗,从而给出不正确的预测结果,并且只要有一点相关专业技能,你可以让它们给出任何你想要的结果。 这一事实逐渐变得令人感到不安,因为现如今
产生和防御对抗样本的新方法 | 分享总结
人工智能学家
01-07 6063
来源:AI研习社作者:杨文在线上公开课上,来自清华大学的在读博士生廖方舟分享了他们团队在 NIPS 2017 上一个对抗样本攻防中提到的两个新方法,这两个方法在大中分别获得了攻击方和防守方的第一名。在此可看视频回放:http://www.mooc.ai/open/course/383 廖方舟,清华大学化学系学士,生医系在读博士。研究方向为计算神经学,神经网络和计算机视觉。参加多次 Kaggl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值