【对抗攻击】

最新推荐文章于 2024-10-15 01:20:33 发布
最新推荐文章于 2024-10-15 01:20:33 发布
阅读量424 收藏 7
点赞数 8
文章标签: 人工智能 计算机视觉 深度学习 python 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44572656/article/details/129857944
版权
本文探讨了对抗攻击的三个主要阶段:训练阶段的后门攻击,部署阶段的决策边界修改,以及推理阶段的小幅度样本修改。涉及白盒攻击(如优化、梯度和GAN)、黑盒攻击和迁移攻击,以及物理攻击中的数字-物理与物理-数字转换问题。
摘要由CSDN通过智能技术生成

对抗攻击总结


研究深度:对抗攻击>部署阶段攻>后门攻击

一、训练阶段攻击(后门攻击)

中毒样本视觉不可感知,在良性数据上表现正常,在中毒样本上误分类。

二、部署阶段攻击

部署的是正常模型,攻击者局部修改正常模型的决策边界,改变对目标良性样本的预测。

三、推理阶段攻击(对抗攻击)

攻击者对良性样本进行小幅度修改,使模型对其误分类。
物理攻击步骤:数字空间生成扰动–数字扰动转化为物理对象(海报,贴纸等)–通过相机或扫描仪将物理扰动转换回数字空间,然后对被攻击模型进行推理。
物理攻击在第一阶段产生的扰动和最终输入攻击模型的扰动之间存在两种转换,包括数字到物理的转换和物理到数字的转换。这两种变换很可能带来扰动的畸变,攻击者必须增强所产生的扰动对这些畸变的鲁棒性。通常要求对抗性示例在物理世界中看起来自然或真实。

(1)白盒攻击

基于优化的攻击:攻击性能更强、扰动幅度更小,一次只能对一个样本进行优化。
基于梯度的攻击:时间效率较高,但不能保证对抗攻击有效。
基于GAN的攻击:时间效率更高。

基于优化实现

由于L范数不可导,将目标函数定义为分类损失,使用约束扰动的范数。
在这里插入图片描述

L范数
	* 快速梯度优化FSGM 73
	* 迭代梯度优化I-FGSM  98
	* 投影梯度下降PGD 132
	* 动量迭代MI-FGSM 50
	* 加速梯度NI-FGSM 116
	* AutoPGD 44
L2范数
     * DeepFool 137
     * C&W 22
基于梯度实现
基于GAN实现

在这里插入图片描述

      * advGAN 205
      * PhysGAN 97
      * PS-GAN 118
      * CGAN-Adv 224
      * AP-GAN 237
      * AC-GAN 169
      * MAG-GAN 33
      * LG-GAN 246
      * AdvFaces 45
      * AT-GAN 184
物理攻击
通用对抗攻击
非加性攻击

非加性攻击分为:几何转换和风格转换。

几何转换
  • 旋转变换、平移、仿射

(2)黑盒攻击

(3)迁移攻击

qq_44572656
关注
对抗攻击:提升推荐系统鲁棒性
AI天才研究院
04-26 656
对抗攻击:提升推荐系统鲁棒性 1. 背景介绍 1.1 推荐系统的重要性 在当今信息过载的时代,推荐系统已经成为帮助用户发现感兴趣的内容和产品的关键工具。无论是在线视频、音乐、电子商务还是社交媒体等领域,推荐系统都扮演着至关重要的角色。它们通过
对抗攻击方法一览
m0_56069948的博客
04-08 1850
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 背景 神经网络在过去的几年和几十年已经获得了长足的进步,神经网络的应用已经遍布我们生活的各个角落。但是与此同时,也有人发现神经网络并不像我们预期的那么具有鲁棒性,仅仅在图片中添加一个微笑的扰动就可以改变神经网络最后的预测结果,这些技术被称为对抗攻击对抗攻击是指在干净的图片中添
对抗攻击的详细解析:原理、方法与挑战
qq_22841387的博客
09-22 897
在传统的机器学习任务中,训练集和测试集往往来自 **相同的数据分布 $P$** 。然而,对抗攻击通过在输入数据上引入极其微小的扰动,使得输入数据的分布发生了细微的改变。这种变化对于人类而言几乎无法感知,但对于模型,可能引发极大差异,甚至导致分类结果的完全错误。模型的这种脆弱性源自它们在高维特征空间中对某些输入特征的过度敏感性。
对抗攻击方法详解:梯度攻击、转移攻击与模型集成攻击
qq_22841387的博客
09-27 882
1. **基于梯度的攻击**是白盒场景下的强大攻击方法,但其对黑盒场景的适应性较差,且容易被对抗训练等防御策略抵消。 2. **基于转移的攻击**通过生成具有迁移性的对抗样本提升了黑盒攻击的成功率,但在新型深度学习架构上效果有限。 3. **模型集成攻击**通过结合多个模型的信息提升了对抗扰动的泛化能力,但需要更多的计算资源,且在利用个体模型的独特性上仍有改进空间。
【李宏毅机器学习】adversarial attack 对抗攻击
发现问题,并解决问题,批判性思维
10-13 2266
对抗攻击:DL算法存在着严重的安全隐患,攻击者可以通过给良性样本添加特定噪声而轻易地欺骗DL模型,并且通常不会被人发现。攻击者利用人的视觉/听觉无法感知的扰动,足以使正常训练的模型输出置信度很高的错误预测。被认为是在生产中部署DL模型之前的巨大障碍。 根据威胁模型可以将现有的对抗攻击分为白盒、灰盒和黑盒攻击。这3种模型之间的差异在于攻击者了解的信息。 在白盒攻击的威胁模型中,假定攻击者具有关于其目标模型的完整知识,包括模型体系结构和参数。因此攻击者可以通过任何方式直接在目标模型上制作对抗性样本。 在灰盒威
对抗攻击与防御入门
m0_57512841的博客
07-27 5677
对抗样本---深度学习
FGSM对抗攻击算法实现
山高路远,看世界,也找自己
11-30 3874
在我们进入代码之前,让我们看一下著名的 FGSM熊猫示例和摘录一些符号。上图展示了Fast adversarial examples应用在深度网络上。通过加上一个人类感知不到的小向量,向量的值为ϵ乘输入像素点关于误差的梯度值的符号值。这里 ϵ=0.007,符合经过深度网络转换为实数后8bit图像编码的最小数量级。图中加上噪声后,熊猫被识别为长臂猿,并且置信度为99.3%,所以此方法叫做fast gradient sign method,简称FGSM,我们称之为快速梯度下降法。
AI新方向:对抗攻击
喜欢打酱油的老鸟
01-31 1567
https://www.toutiao.com/a6624300476227650051/   2018-11-16 11:49:03 在调查近几年 AI 领域的过程中,我发现近几年对抗攻击的概念逐渐出现在全世界各国研究人员的视野中,我认为这将会是现在乃至未来几年最引人瞩目的新方向之一。 概述 我在国内的两个著名的学术搜索网站 AMiner 和 Acemap 进行了调查,以 advers...
对抗攻击和防御
白景屹的博客
10-27 4141
目录对抗攻击防御References 对抗攻击计算机视觉任务中可能存在以下现象,对输入样本故意添加一些人类无法察觉的细微干扰,将会导致模型以高置信度输出一个错误的分类结果,这被称为对抗攻击对抗攻击的目标是使模型错误分类样本,同时不能过度修改样本。对抗攻击通常分为白盒攻击和黑盒攻击。对于白盒攻击攻击者已知模型内部的所有信息和参数,基于给定模型的梯度生成对抗样本,对网络进行攻击。对于黑盒攻击攻击者不了解模型的参数和结构信息,仅通过模型的输入和输出,生成对抗样本,再对网络进行攻击。黑盒攻击和白盒攻击的思
对抗攻击样本范数:L0,L2,L∞
A_John 的博客
04-06 3981
1) L0范数 : 非0 元素的个数; 对抗样本 扰动的 非0元素的个数; 2) L2范数 : 各元素的 平方和再开方; 对抗样本 扰动的 各元素的平方和再开方,针对图像数据,L2范数越小表示对抗样本人眼越难识别; 3) L∞范数 : 各元素的 绝对值 的最大值; 对抗样本 扰动的 各元素的最大值; 4) 扰动 : Original + perturbation = Adversarial ...
BUAA人工智能安全导论:Cifar-10数字世界无限制对抗攻击竞赛.zip
10-22
标题 "BUAA人工智能安全导论:Cifar-10数字世界无限制对抗攻击竞赛" 提供的信息表明,这个压缩包可能包含的是一个关于人工智能安全,特别是针对深度学习模型的对抗攻击竞赛的相关材料。CIFAR-10是常用的计算机视觉...
图神经网络对抗攻击与防御
12-23
在《图神经网络对抗攻击与防御》的主题中,主要探讨了两种类型的攻击:投毒攻击和逃逸攻击。投毒攻击发生在模型训练阶段,攻击者可以通过篡改训练数据来破坏模型的性能。而逃逸攻击则是在模型训练完成后或测试阶段,...
AA_experiment:对抗攻击实验
03-22
在IT行业中,对抗攻击实验是安全领域的一个重要研究方向,特别是在机器学习人工智能的应用中。"AA_experiment: 对抗攻击实验"很可能是一个关于探索如何利用特定的输入(对抗性样本)来误导机器学习模型的项目。这...
深度学习对抗攻击方法综述.pdf
08-18
对抗样本攻击方法的分类和总结,以及未来对抗攻击研究方向的探讨,为这一领域的研究者和从业者提供了宝贵的信息。 对抗样本攻击的方法可以分为白盒攻击和黑盒攻击两种。在白盒攻击中,攻击者对模型结构、参数等内部...
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗攻击以生成对抗性示例。 干净的图像 对抗形象 目录 推荐的地点和配套 用法 :clipboard: 依存关系 火炬== 1.4.0 Python== 3.6 :hammer: 安装 pip install ...
DINO&DINO v2:颠覆自监督视觉特征表示学习
最新发布
家鸽的代码屋
10-15 684
DINO系列学习总结
论文及其创新点学习cvpr2022 On the Integration of Self-Attention and Convolution
qq_53536373的博客
10-13 379
论文创新点,将注意力机制 和卷积 相结合。
R语言生物群落(生态)数据统计分析与绘图实践技术应用
JWW19903121626的博客
10-10 1088
R 语言作的开源、自由、免费等特点使其广泛应用于生物群落数据统计分析。生物群落数据多样而复杂,涉及众多统计分析方法。以生物群落数据分析中的最常用的统计方法回归和混合效应模型、多元统计分析技术及结构方程等数量分析方法为主线,通过多个来自经典研究中的实例,详细讲述各方法的R语言实现途径。
【YOLO学习】YOLOv4详解
m0_62881487的博客
10-09 1229
3. DIOU(Distance IOU)损失:DIOU 考虑到 GIOU 的缺点,也是增加了 C 检测框,将真实框和预测框都包含了进来,但是 DIOU 计算的不是框之间的交并,而是计算的每个检测框之间的欧氏距离,这样就可以解决 GIOU 包含出现的问题。concat:将两个特征图在通道数方向叠加在一起,原特征图信息完全保留下来,再对原特征图增加一些我们认为是较好的特征图,丰富了特征图的多样性,是在空间上对原特征图的增强,这样在下一次卷积的过程中我们能得到更好的特征图。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值