One Pixel Attack(对抗攻击) —— 使用差分进化算法寻找最优解

最新推荐文章于 2024-03-26 09:59:33 发布
最新推荐文章于 2024-03-26 09:59:33 发布
阅读量4.4k 收藏 17
点赞数 5
分类专栏: 机器学习 文章标签: 机器学习 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48996375/article/details/107128978
版权
本文介绍了一种名为One Pixel Attack的对抗攻击方法,它仅通过改变图像中一个像素点的值就能误导深度神经网络。与传统攻击相比,这种方法更难被察觉。文章详细讲解了Adversarial Attack的概念,回顾了advGAN的工作原理,并重点阐述了如何运用差分进化算法在限制L0范数(仅改变一个像素)的情况下寻找最优的对抗样本。通过差分进化算法,可以在较少的模型评估次数下找到全局最优解,且不需要梯度信息。
摘要由CSDN通过智能技术生成

论文原文:One pixel attack for fooling deep neural networks

论文链接:https://arxiv.org/abs/1710.08864
代码:https://github.com/Hyperparticle/one-pixel-attack-keras

Adversarial Attack
在这里插入图片描述
对抗攻击不过多阐述,如上图所示,在原图像x0上加上一些perturbations得到x`,可以误导识别网络的识别结果。

AdvGAN

论文链接:https://arxiv.org/abs/1801.02610
在这里插入图片描述
简单回顾一下对抗样本领域经典之作——advGAN,将origin image x放入生成器g产生perturbations即g(x),产生的perturbations加在x上从而产生对抗样本用来误导识别网络。

在实际的训练过程中:
    advGAN的损失函数:
                

最低0.47元/天 解锁文章
社会青年技术官
关注
专栏目录
【AI面试】目标检测中one-stage、two-stage算法的内容和优缺点对比汇总
钱多多先森
04-30 9367
目标检测算法one stage和two stage的对比
[paper]One Pixel Attack for Fooling Deep Neural Networks
weixin_43150428的博客
05-13 722
之前对抗攻击算法都是在整个图像的所有像素点上做微小的扰动,以达到欺骗模型的目的。而本文的思想是只改变少量的像素点,甚至在只改变一个像素点的极端情况下就能获得较好的攻击效果。提出了一种基于差分进化(DE)生成单像素对抗样本的黑盒攻击(仅需要概率标签)算法。由于DE的固有属性,仅需要较少的对抗信息就可以欺骗更多类型的网络。 算法优点 : 高效性 半黑盒攻击:只需要返回黑盒的类标概率而不用网络的内部参数。 灵活性:可以攻击那些不可微或梯度难以计算的模型。 主要出发点: 自然图像邻域的分析 感知度量 单像素
论文笔记(八)《One Pixel Attack for Fooling Deep Neural Networks》》
qq_39667860的博客
05-05 1173
摘要 论文分析了修改一个像素的有限场景下的一种攻击。提出了一种基于差分进化的生成1像素对抗扰动的方法。(黑盒攻击)。由于差分进化固有的特征,所以它可以愚弄更多类型的网络。结果显示在平均置信度为74.03%和22.91% 的情况下通过修改1像素,Kaggle CIFAR-10测试数据集67.97%的自然图像和16.04%的ImageNet (ILSVRC 2012)测试图像中,只要修改一个像素,就可以被扰动到至少一个目标类。因此,提出的攻击探讨了在极端有限的情况下对抗机器学习的不同看法,显示当前 dnn也容
One Pixel Attack for Fooling DNN 对抗样本单像素攻击
qq_51143009的博客
01-18 4678
One Pixel Attack for Fooling DNN 对抗样本单像素攻击 2019 One Pixel Attack for Fooling DNN 1.前言 通过在图像中添加一些人眼无法识别的扰动,可以使分类器分类对抗图片错误。 在这篇文章中,作者认为分析DNN的分类边界的集合特征也能够帮助理解DNN的分类特性。以往的工作对这方面的研究相对较少,是因为理解高维空间的几何特征相对困难。然而,DNN相对于对抗性扰动的鲁棒性评估可能有助于解决这个复杂的问题。 论文中使用差分进化提出一种单像素的黑盒攻
One pixel 对抗攻击_学习笔记
Erpim的博客
08-29 8035
前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,方便之后回顾。过程中可能引用其他大牛的博客,文末会给出相应链接,侵删! One pixel 对抗攻击算法 特点:黑盒攻击,只改变一个像素点即可实现攻击 论文原文:One pixel attack for fooling deep neural networks 正文...
One Pixel Attack for Fooling Deep Neural Networks
weixin_43358537的博客
01-05 192
摘要: 最近的研究表明,通过向输入向量添加相对较小的扰动,可以很容易地改变深度神经网络(DNN)的输出。在本文中,我们分析了一个极其有限的场景中的攻击,其中只能修改一个像素。 为此,我们提出了一种基于差分进化(DE)生成单像素对抗性扰动的新方法。它需要较少的对抗性信息(黑盒攻击),并且由于DE的固有特性,可以欺骗更多类型的网络。结果表明,CIFAR-10测试数据集中68.36%的自然图像和...
Keras 在 Cifar10 和 ImageNet 上使用差分进化实现“欺骗深度神经网络的单像素攻击_python_代码_下载
06-22
如果攻击者只被允许修改一个像素的颜色并且只看到预测概率,那么导致深度神经网络对...通过使用称为差分进化(DE) 的进化算法,我们可以迭代生成对抗性图像,以尝试最小化神经网络分类的置信度(概率)。 效果展示: ...
​李宏毅机器学习——对抗攻击Adversarial Attack
iwill323的博客
10-27 3230
​李宏毅机器学习——对抗攻击Adversarial Attack
Matlab-GAN:生成对抗网络的 MATLAB 实现——从 GAN 到 Pixel2Pixel、CycleGAN-matlab开发
05-31
研究论文中建议的生成对抗网络 (GAN) 的 MATLAB 实现集合。 它包括 GAN、conditional-GAN、info-GAN、Adversarial AutoEncoder、Pix2Pix、CycleGAN 等,模型应用于不同的数据集,如 MNIST、celebA 和 Facade。
one-pixel-attack-pytorch
03-26
one-pixel-attack-pytorch
大白话之One Pixel Attack for Fooling Deep Neural Networks论文讲解
liuyishou
07-26 1774
1 引言 使用单像素点愚弄深度神经网络。2017 CVPR 论文地址 对抗样本生成的一种策略。 本文采取一种独立思考的方式,来理解与讲解这篇论文。 2 算法原理 2.1 第一印象 what the fuck?改变一个像素点就能使网络分类错误?想法great,但怎么可能 逐渐冷静。。。单像素点真的能攻击成功? 2.2 初步设想 Can we:貌似 ”goodfellow的模型高度线性化,使得图像会有扰动放大效应“ 为改设想提供了一定的理论依据。 How:假设确实改动某个像素点的值能实现对抗攻击。那
一像素攻击Keras:深度学习安全性的挑战与对策
最新发布
gitblog_00048的博客
03-26 412
一像素攻击Keras:深度学习安全性的挑战与对策 one-pixel-attack-keras项目地址:https://gitcode.com/gh_mirrors/on/one-pixel-attack-keras 在当前的AI时代,深度学习模型已经成为图像识别、自然语言处理等领域的基石。然而,这种先进技术并非无懈可击。项目揭示了一种针对深度学习模型的微妙攻击方式——仅通过改变图像中的一像素,...
论文那些事—One Pixel Attack for FoolingDeep Neural Networks
shuweishuwei的博客
10-11 530
One Pixel Attack for Fooling Deep Neural Networks(愚弄深层神经网络的单像素攻击) 1、摘要
论文阅读笔记三十:One pixel attack for fooling deep neural networks(CVPR2017)
weixin_33717117的博客
12-14 905
论文源址:https://arxiv.org/abs/1710.08864 tensorflow代码: https://github.com/Hyperparticle/one-pixel-attack-keras 摘要 在对网络的输入上做点小处理,就可以改变DNN的输出结果。本文分析了一种极限条件下的攻击情形,只改变一个输入中的一个像素使网络的输出发生改变。本文提出...
armitage攻击没有attack_OnePixel攻击
weixin_39836063的博客
11-18 150
原标题One Pixel Attack for Fooling Deep Neural Networks论文:One pixel attack for fooling deep neural networks​arxiv.org概述:最近的研究表明,通过向输入向量添加相对较小的扰动,可以很容易地改变深度神经网络(DNN)的输出。在本文中,研究人员分析了一种攻击在一个非常有限的情况下,只有一个像素可...
对抗攻击样本范数:L0,L2,L∞
A_John 的博客
04-06 3945
1) L0范数 : 非0 元素的个数; 对抗样本 扰动的 非0元素的个数; 2) L2范数 : 各元素的 平方和再开方; 对抗样本 扰动的 各元素的平方和再开方,针对图像数据,L2范数越小表示对抗样本人眼越难识别; 3) L∞范数 : 各元素的 绝对值 的最大值; 对抗样本 扰动的 各元素的最大值; 4) 扰动 : Original + perturbation = Adversarial ...
安全文章研读:深度学习对抗攻击防御策略的一些实现
weixin_43466027的博客
06-02 1401
0x01 太长不看 深度学习在表现优异的同时,还存在易受攻击的缺陷。多数防御策略只能应对特定的攻击方法,普适性比较低,另外这些防御策略多为全局过滤扰动,浪费了大量算力。所以,本文: 认为对抗扰动中存在敏感点,敏感点的波动影响深度学习模型的分类。我们提出一种仅过滤对抗样本中敏感点的防御策略。 提出了一种基于差分进化算法寻找敏感点的方法,采用黑盒的方式去寻找对抗样本中的敏感点,避免了对深度学习模型的结构、参数等的依赖,可以适用于未知模型细节时的防御,增加了普适性。用邻域平均的方法把敏感点过滤掉。 0x02
fgsm,deep算法,L-BFGS攻击算法,One Pixel攻击算法攻击效果不同是因为什么
05-05
FGSM(Fast Gradient Sign Method)算法是一种快速生成对抗样本的方法,它是基于对原始数据的梯度信息进行计算,通过改变输入数据中的每个像素点的值,来产生对抗样本。由于该算法是基于单次梯度计算,因此生成对抗样本的速度非常快,但是对抗样本的扰动较大,攻击成功率较高。因此, FGSM算法在攻击中的效果较好。 DeepFool算法是一种基于线性分类器的迭代最小化扰动的方法。它通过在决策边界处找到最小的扰动来生成对抗样本。该算法可以产生非常小的扰动,但是需要迭代计算,因此速度较慢。与FGSM算法相比,DeepFool算法的攻击效果较为稳定,但需要更多的计算资源。 L-BFGS算法是一种基于梯度下降的优化算法,它可以用来生成对抗样本。该算法可以产生较小的扰动,但需要迭代计算,因此速度较慢。与FGSM算法相比,L-BFGS算法的攻击效果较为稳定,但需要更多的计算资源。 One Pixel攻击算法是一种通过改变图像中少量像素的值来生成对抗样本的方法。由于仅改变少量像素的值,因此One Pixel攻击算法可以产生非常小的扰动。但是,这种方法易受到图像旋转、缩放等操作的影响,因此对抗样本的鲁棒性较差。 因此,以上四种攻击算法的攻击效果不同是由于它们使用不同的方法来产生对抗样本,每种方法都有其优缺点,需要根据具体应用场景进行选择。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值