对抗攻击经典论文剖析(上)【FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)】

最新推荐文章于 2025-10-08 23:38:57 发布
原创 最新推荐文章于 2025-10-08 23:38:57 发布 · 2.4w 阅读 · 162 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#深度学习 #自然语言处理 #机器学习 #数据挖掘 #pytorch

本文深入解析对抗机器学习,包括FGSM、BIM、PGD及C&W四种经典算法。探讨了对抗攻击与防御原理,线性解释对抗样本生成,及对抗训练在不同模型中的应用。实验证明,通过特定攻击方法训练的模型能有效提高鲁棒性。

最近做数据增广做的心累,想要看一看对抗攻击!这个博文会对四种经典算法进行剖析,分别是FGSM、BIM、PGD、Carlini and Wagner Attacks (C&W)。

对抗攻击和防御

首先我们简单来说一说对抗攻击和防御的目的。攻击就是对原始样本增加扰动生成对抗版本最大化损失函数,同时扰动尽可能地小,让人类肉眼无法察觉;防御问题是基于这种攻击方法训练一个更具鲁棒性的神经网络。数学表达如下:
攻击:max⁡δ∈SL(θ,x+δ,y)\mathop {\max }\limits_{\delta \in S} L\left( {\theta ,x + \delta ,y} \right)δSmaxL(θ,x+δ,y)
防御:min⁡θρ(θ),ρ(θ)=E(x,y)∈D[max⁡δ∈SL(θ,x+δ,y)]\mathop {\min }\limits_\theta \rho \left( \theta \right),\rho \left( \theta \right) = { {\rm E}_{\left( {x,y} \right) \in D}}[\mathop {\max }\limits_{\delta \in S} L\left( {\theta ,x + \delta ,y} \right)]θminρ(θ),ρ(θ)=E(x,y)D[δSmaxL(θ,x+δ,y)]
下面将针对几篇论文开始讲解:

Explaining and harnessing adversarial examples

动机

首先这篇论文提到,在当前的研究中,对抗样本的原因产生的原因仍是一个谜。之前很多假设推测对抗样本的产生是因为深度神经网络的极度非线性,可能还结合了监督学习中正则化和模型均化不足等原因。但是本文的作者认为,这种非线性(Nonlinear)的推测解释没有必要,**高维空间的线性(Linear Behavior)足够产生对抗样本。**根据这个观点,作者设计了一种新的快速产生对抗样本的方法,并且使得对抗学习(Adversarial Training)更实用。

线性解释

首先定义原始样本为xxx,添加扰动后的对抗样本为x~=x+η\tilde x = x + \etax~=x+η。当其中的扰动η\etaη比较小时,对于一个良好的分类器,会将他们分为同一个类。我们定义一个阈值ε\varepsilonε,当∥η∥∞<ε{\left\| \eta \right\|_\infty } < \varepsilonη<ε时,不会影响分类器的性能。经过一层线性网络后,权重向量ωT{\omega ^T}ωT和对抗样本x~\tilde xx~的点积为:ωTx~=ωT(x+η)=ωTx+ωTη{\omega ^T}\tilde x = {\omega ^T}\left( {x + \eta } \right) = {\omega ^T}x + {\omega ^T}\eta ωTx~=ωT(x+η)=ωTx+ωTη
这样,对抗扰动就增加了ωTη{\omega ^T}\etaωTη,作者令η\eta

最低0.47元/天 解锁文章
对抗样本之BIM原理&coding
liuyishou
07-20 3857
1 引言 BIM,即基本迭代法,在FGSM基础上加上了迭代操作。想看FGSM,跳转 理解了FGSM,相信对BIM会丝毫没有压力。各位看官大多还是奔着代码去的吧,这里核心讲下代码。 使用pytorch实现BIMpytorch不会?跳转 2 BIM原理 对比 FGSM公式 BIM公式 如上,BIMFGSM真就是一个for循环的区别。但为什么BIM也能发论文呢?BIM存在其数学理论的合理性以及实验效果表现良好。 FGSM的使用,基于作者假设模型是高度线性化的。如此一来,梯度上升的方向就是最佳
对抗样本生成算法之BIM算法
热门推荐
ilalaaa的博客
05-17 1万+
目录背景原理 论文链接点击获取. 背景 原理
FGSMPGDBIM对抗攻击算法实现
博主关注人工智能、强化学习、嵌入式等||985高校A+学科研究生、猿龄六年||CSDN博客专家、2024年博客之星TOP33、华为云享专家、人工智能领域优质创作者。
12-16 5778
PGDBIM对抗攻击算法实现可以直接导入这个torchattacks这个库,这个库中有很多常用的对抗攻击的算法。 pip install torchattacks 然后添加相关代码,即可直接调用
对抗样本:深度学习的隐秘挑战与防御之道
最新发布
拒绝AI玄学,只聊真技术▲
10-08 1212
对抗样本是由 Christian Szegedy 等人在2014年首次提出的概念,指的是在数据集中通过故意添加细微的干扰所形成的输入样本,导致模型以高置信度给出一个错误的输出。这些样本对人类观察者来说与正常样本几乎没有区别,但却能完全迷惑深度学习模型。如下图所示,在图像分类任务中,对一张熊猫图片添加少量噪声后,人类仍然识别为熊猫,但模型却以高置信度将其分类为长臂猿。本文由「大千AI助手」原创发布,专注用真话讲AI,回归技术本质。拒绝神话或妖魔化。
attacks.zip_C w attack_c&w 攻击_对抗样本_对抗样本攻击_攻击样本C
07-15
使用论文中C&W方法的对抗样本攻击程序,adversail Attack
C&W(Carlini & Wagner)
weixin_40872714的博客
07-14 2949
​变体复杂得多,因为它的相关距离度量是不可微分的。作者提出了一种迭代策略来连续地消除不重要的输入特征,从而可以通过扰动尽可能少的输入特征来实现明模型误分类。使得和目标类别的logit之间的差距更接近,即,降低最高类别预测置信度和/或增加目标类别置信度。参数建立了最佳情况下的停止准则,其中对抗类的logit至少比第二大类的logit要大。简言之,该策略连续地将对抗扰动的大小限制在连续更小的。当前具有最高的logit值,则logit的差值将为负,因此当。类和第二大类之间的logit值的距离。......
对抗攻击8——CW(Carlini & Wagner)
欢迎来到道的世界
04-06 5012
 卡利尼和瓦格纳[44]引入了一系列攻击来寻找最小化不同相似性度量的对抗性扰动:L0、L2和L∞等。核心观点是将类似于BFGS攻击的一般约束优化策略31转化为无约束优化公式中经验选择的损失函数:LCW(x′,t)=max⁡(max⁡i≠t{Z(x′)(i)}−Z(x′)(t),−κ) \mathcal{L}_{C W}\left(x^{\prime}, t\right)=\max \left(\max _{i \neq t}\left\{Z\left(x^{\prime}\right)_{(i)}\righ
对抗样本(论文解读四): Adversarial Attacks and Defenses in Images, Graphs and Text: A Review
Enjoy_endless
12-09 3486
准备写一个论文学习专栏,先以对抗样本相关为主,后期可能会涉及到目标检测相关领域。 内容不是纯翻译,包括自己的一些注解和总结,论文的结构、组织及相关描述,以及一些英语句子和相关工作的摘抄(可以用于相关领域论文的写作及扩展)。 平时只是阅读论文,有很多知识意识不到,当你真正去着手写的时候,发现写完之后可能只有自己明白做了个啥。包括从组织、结构、描述上等等很多方面都具有很多问题。另一个是对于专业术语、...
生成对抗样本的方法|攻击方法
honor
07-03 9610
对抗样本 1.Biggio′s attack Biggio[22]等人首先针对传统机器学习分类器(如SVM和三层全连接神经网络)的MNIST手写数字识别数据集生成对抗样本。 它通过优化判别函数来误导分类器。 2. Szegedy′s limited-memory BFGS (L-BFGS) attack Szegedy[8]等人首次证明了可以通过对图像添加小量的人类察觉不到的扰动误导深度神经网络图像分类器做出错误的分类。他们首先尝试求解让神经网络做出误分类的最小扰动的方程。作者认为,深度神经网络所具有的强大
对抗攻击、防御论文介绍
Turbo_Come的博客
03-13 1662
攻击: 快速梯度符号法(FGSM),通过在损失梯度的梯度方向上添加增量来生成一个对抗示例: Goodfellow, Ian J., Jonathon Shlens, and Christian Szegedy. Explaining and harnessing adversarial examples. 基本迭代方法(BIM),它是FGSM的改进版本,与FGSM相比,BIM执行多个步...
Advances in adversarial attacks and defenses in computer vision: A survey论文解读
kking_edc的博客
11-19 2597
Abstract Deep Learning (DL) is the most widely used tool in the contemporary field of computer vision. 它能准确解读复杂问题的能力被应用于许多视觉研究中。However, it is now known that DL is vulnerable to adversarial attacks that can manipulate its predictions by introducing visuall
对抗攻击经典论文剖析(下)【DeepFool、One pixel attack、Universal adversarial perturbations、ATN】
一个nlp探险者的博客
04-26 5917
引言 上一篇讲的几篇经典对抗攻击论文主要讲的是如何在梯度上扰动或者优化,即尽可能保证下的扰动,不被人类发现,却大大降低了模型的性能。这一篇我们将会有一些更有意思的对抗攻击样本生成,包括像素级别的扰动以及样本生成(DeepFool、One pixel attack、Universal adversarial perturbations、ATN)。 DeepFool: a simple and acc...
有关对抗攻击论文整理
Afra
11-10 1038
对抗攻击对抗攻击对抗攻击的概念对抗攻击原理新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 对抗攻击 对抗攻击的概念 通过故意对数据集中输入样本添加难以察觉的扰动使模型以告知新都给出一个错误的输出。 对抗攻击原理 《In
C&W对抗攻击(Towards Evaluating the Robustnessof Neural Networks)
a2333333_的博客
04-01 2368
本文介绍了机器学习对抗领域的一篇非常经典的文章,文章介绍了一种强大的方法C&W,文章论证了该方法的优越性,同时说明了在防御蒸馏上其特效
对抗样本生成方法综述(FGSMBIM\I-FGSMPGD、JSMA、C&W、DeepFool)
qq_51171586的博客
04-17 1万+
随着深度学习的快速发展,其脆弱性也越来越被关注。本篇文章将介绍一些经典的对抗样本生成方法,并自己编写了相应代码实现。
C&W攻击(论文笔记)
hehhehea1的博客
11-29 4286
摘要 摘要大概介绍了对抗学习的背景以及本文的创新点。神经网路很容易受到攻击,我们在输入一个样本x到一个模型model中,只要在x上添加少量噪声,就可以在人看不出来的情况下改变模型model的输出。背景可以参照《Adversarial Learning Targeting Deep Neural Network Classification: A Comprehensive Review of Defenses Against Attacks》,这是一篇介绍不见全面的综述论文。最近提出了一种蒸馏
对抗攻击(1)—— 论文Intriguing properties of neural networks阅读笔记
qq_43205738的博客
11-27 2792
博客目录1.论文中心思想(1)关于某一特征的学习(2)深层神经网络的弱点2.论文重要语句解读 1.论文中心思想 论文讨论了深度神经网络的两个有趣且值得深入探讨的特点: (1)关于某一特征的学习 通过单元分析方法发现(various methods of unit analysis),单个的深层神经元(individual high level units)与随机线性组合的多个深层神经元(rand...
CVPR2023对抗攻击相关论文
qq_45822394的博客
04-21 3800
在各种计算机视觉应用中,现实世界的对抗性物理补丁被证明在妥协最先进的模型中是成功的。基于输入梯度或特征分析的现有防御已经被最近基于 GAN 的攻击所破坏,这些攻击会产生自然补丁。在本文中,我们提出了Jedi,这是一种针对对抗性补丁的新防御,它对现实补丁攻击具有弹性。Jedi从信息论的角度解决了补丁定位问题;利用两个新的思想:(1)利用熵分析改进了潜在斑块区域的识别:我们发现即使在自然斑块中,对抗斑块的熵也很高;(2)使用能够从高熵核中完成补丁区域的自编码器,提高了对抗性补丁的定位。
对抗攻击方法及论文总结
crystal_sugar的博客
05-09 1080
文章目录 FGSM (https://arxiv.org/abs/1412.6572) Basic iterative method (https://arxiv.org/abs/1607.02533) L-BFGS (https://arxiv.org/abs/1312.6199) Deepfool (https://arxiv.org/abs/1511.04599) JSMA (https://arxiv.org/abs/1511.07528) C&W (https://arxiv.org/ab
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值