分享 | 防御物理上可实现的图像分类攻击

已于 2022-02-28 17:46:54 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: CV 文章标签: 分类 计算机视觉 人工智能
于 2022-02-28 17:46:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenlanshenyanai/article/details/123188068
版权

作者研究了保护用于图像分类的深度神经网络方法免受物理可实现攻击的问题。首先,证明了可学习的鲁棒模型的两种最具可扩展性和最有效的方法(PGD 攻击的对抗训练和随机平滑),对三种最引人注目的物理攻击的效果非常有限。

论文信息

原文链接:https://arxiv.org/abs/1909.09552

原文开源代码:https://github.com/tongwu2020/phattacks 

解决的问题

接下来,作者提出了一种新的抽象对抗模型,矩形遮挡攻击(rectangular occlusion attacks),其中对手在图像中放置一个小的对抗制作的矩形,并开发两种方法来有效地计算得到的对抗样本。最后,作者证明了使用新攻击的对抗训练产生的图像分类模型对研究的物理可实现的攻击表现出很高的鲁棒性,为此类攻击提供了第一个有效的通用防御。

由于作者在人脸识别、交通牌识别和分类任务上发现,传统的对抗训练和随机平滑对patch攻击并没有很好的防御作用,即用于使深度学习对攻击具有鲁棒性的传统模型在面对物理上可实现的攻击时表现很差。例如下图是面对对抗眼镜时的acc,随着迭代的提升,acc迅速下降:

换句话说,证据有力地表明,如果人们关注在实践中可能面临的主要物理威胁,攻击者可以对输入图像进行

最低0.47元/天 解锁文章
深兰深延AI
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
图像攻击算法python实现_Zhang-Suen 图像细化算法python实现
weixin_39695672的博客
12-12 317
算法流程首先要反转原图像,因为算法之后所有的操作都将0作为前景,将1作为背景。中心像素x_1(x,y)的8-近邻定义如下所示:考虑以下两个步骤步骤1:执行光栅扫描并标记满足以下5个条件的所有像素:这是一个黑色像素;顺时针查看x2、x3、...、x9、x2时,从0到1的变化次数仅为1;x2、x3、...、x9中1的个数在2个以上6个以下;x2、x4、x6中至少有1个为1;x4、x6、x8中至少有1个...
图像分类的十二种攻击方法
qq_18824345的博客
11-10 3218
最近想参加天池一个安全AI的比赛,所以研究一下对抗攻击的内容,求组队呜呜呜。。 以下的总结来参考论文《Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey》 这是我看的第一篇对抗攻击类的文章,很多地方没弄懂,先根据论文粗略大概总结一下,不好的地方请指出。 1.盒子约束 L-BFGS Szegedy等人...
图的对抗性攻击防御
u013222658的博客
04-16 5200
Adversarial Attacks and Defenses on GraphsA Review and Empirical Study --图的对抗性攻击防御:回顾与实证研究 (2020-03-03发表文章内容中文翻译)摘要1 介绍2 原则和定义2.1 Learning on Graph Data2.2 图对抗攻击的一般形式2.3 记号3 图形攻击分类法3.1 攻击者的能力3.2 ...
基于Python和MATLAB的数字水印与神经网络的图像攻击识别系统
毕业作品网站
06-01 746
由于多媒体信息与传统物质信息相比改动相对简单并且隐蔽性高,有一些不法分子对某些重要的数字信息做出恶意改动,制造出虚假的信息并传播,如果信息的接收人没有辨别出信息的真实性,可能就会造成不可估量的损失。为了解决这个问题,利用图片受到攻击后水印改动的情况与机器学习的分类算法,我们开发出了基于神经网络及数字水印的图片攻击类别分析系统。与其他产品相比,该产品中水印嵌入与提取的算法优不需要原图就可以实现水印的提取,更加切合图像改动检测的实际情况,满足公众对信息真实性验证的需求。2.6卷积神经网络 13。
【黑产攻防道02】如何对抗黑产的图像识别模型
最新发布
geek_wh2016的博客
08-17 311
模型输入一张大小416x416的图片,进过darknet基础网络和yolo目标检测网络,输出维度分别为:13x13x(5+num_classes),26x26x(5+num_classes),52x52x(5+num_classes)的特征图,3种不同大小的特征图尺寸满足了不同尺寸目标元素的检测需求。这是黑产攻击成本最低的一种方法,目前市面上免费的目标检测模型已经能够准确的检测目标元素的位置,再用枚举的方法,随机选择一个点击顺序,发送请求,如果通过验证,即试出了正确答案,否则继续尝试。
基于LFSR状态序列的混沌序列图像加密方案.pdf
08-14
此外,文章可能还讨论了如何抵抗侧信道攻击,这些攻击尝试通过分析加密设备的物理行为来揭示密钥信息。 总的来说,这篇论文为网络空间安全、安全防御、前端安全和数字资产保护等领域提供了新的解决方案。混沌序列...
Arnold.rar_Arnold置乱周期_anorld 周期性_arnold_encryption_图像加密
07-13
Arnold置乱是一种在图像处理和密码学领域广泛使用的算法,尤其...在分析和研究"Arnold.rar"文件中的内容时,我们可以深入探讨Arnold变换的具体实现、参数选择以及与其他加密技术的融合策略,以提升图像加密的安全性能。
远程物理设备识别系统
05-11
【远程物理设备识别系统】是基于互联网环境的一种创新技术,旨在解决传统网络标识(如IP地址、MAC地址)可伪造而导致的安全性问题。该系统利用硬件固有的、稳定的物理特性——时钟漂移率,作为远程主机的“网络指纹...
基于FIB技术攻击芯片主动屏蔽层
10-16
FIB系统使用高速离子束轰击样品,产生高分辨率的电子图像,同时可用于微纳级别的刻蚀、沉积和离子注入。在攻击场景中,FIB可以精准地切割金属互连线,破坏控制电路,绕过安全机制,甚至操纵芯片的功能。这使得攻击者...
“恶魔音乐”攻击智能语音系统.pdf
09-11
例如,针对视觉识别系统的物理世界攻击和对抗性图像,以及针对对象检测器的实用对抗性攻击。 相关工作的研究主要集中在智能语音系统的攻击手段上,如隐藏语音命令攻击,通过人耳难以察觉的超声波指令操控设备,以及...
最新综述:图像分类中的对抗机器学习
Paper weekly
10-29 4787
©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、人脸对抗样本生成论文标题:Adversarial Machine Learning in...
对抗攻击最新研究:仅修改「一个像素」即可骗过神经网络!
人工智能学家
10-29 5569
编译:BaymaxZ 作者:Jiawei Su、Danilo Vasconcellos Vargas、Sakurai Kouichi(九州大学) 摘要:在图像识别领域,基于DNN的方法克服了传统的图像处理技术,甚至达到媲美人类的结果。 最近的研究证实,深度神经网络(DNN)的输出不是连续的,对输入向量的微小扰动非常敏感,因此人们已经提出了几种方法来制定对网络的有效扰动。在本论文中,九
图对抗攻击防御算法种类
weixin_42374938的博客
10-24 3254
一、 图对抗攻击 按照攻击算法在图中添加扰动的不同阶段,可以将图对抗攻击分为两类,分别为逃逸攻击和投毒攻击。其中逃逸攻击攻击者构造对抗样本在模型测试简短欺骗目标模型,而投毒攻击攻击者在模型训练阶段向训练集中注入对抗样本,使得训练后的模型具有误导性。 经典的图对抗攻击主要有如下几种: Nettack:利用图卷积网络的梯度信息修改图数据,使得目标节点被错误分类为指定类别。这种攻击方法是对属性图进行攻击的算法。 Metattack:利用元学习将图作为优化目标产生用于攻击的图数据。 RL-S2V:将强化学习引入
安全AI挑战者计划第二期 - ImageNet图像分类对抗攻击——Top5(代码模型开源)
weixin_43999137的博客
01-05 1754
本次比赛代码已 Github 开源。 原始图像: 对抗样本: 1. 解题思路 本次比赛中,使用的是3个性能良好的防御模型作为被攻击模型,通过已有的预训练模型进行评测,发现都不能100%对原始图片进行识别(可参见3.1部分),所以对参赛队伍而言,是完全的黑盒攻击,只能采用一些已有的提高对抗样本迁移性的方法来对目标模型进行黑盒攻击。 提高对抗样本迁移性的方法现在已知的有:基于动量1,使用模型集...
图像对抗算法-攻击篇(I-FGSM)
热门推荐
AI之路
05-31 2万+
论文:Adversarial examples in the physical world 论文链接:https://arxiv.org/abs/1607.02533 在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGS...
对抗攻击防御
白景屹的博客
10-27 4026
目录对抗攻击防御References 对抗攻击计算机视觉任务中可能存在以下现象,对输入样本故意添加一些人类无法察觉的细微干扰,将会导致模型以高置信度输出一个错误的分类结果,这被称为对抗攻击。对抗攻击的目标是使模型错误分类样本,同时不能过度修改样本。对抗攻击通常分为白盒攻击和黑盒攻击。对于白盒攻击攻击者已知模型内部的所有信息和参数,基于给定模型的梯度生成对抗样本,对网络进行攻击。对于黑盒攻击攻击者不了解模型的参数和结构信息,仅通过模型的输入和输出,生成对抗样本,再对网络进行攻击。黑盒攻击和白盒攻击的思
对抗攻击adversarial attacks
u013593585的专栏
04-23 1158
第一篇文章 Threat of Adversarial Attacks on Deep Learning in Computer Vision: A Survey 未完待续 本该选择保存未草稿
论文笔记——Adversarial Patch(对抗补丁)
WwwwHy搞的烂活
10-24 5614
摘要 We present a method to create universal, robust, targeted adversarial image patches in the real world. The patches are universal because they can be used to attack any scene, robust because they work under a wide variety of transformations, and target.
对抗样本(论文解读十一):PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning
Enjoy_endless
05-08 1716
PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning Chenglin Yang, Adam Kortylewski, Cihang Xie, Yinzhi Cao, and Alan Yuille Johns Hopkins University 通过强化学习实现一个基于纹理的黑盒攻击 这是一篇比较新的对抗块攻击的相关文章,发布于arxiv:2020.04.12, 头几天刚在组会上分享了相关论文,今天在这里简单分
深度学习图像分类的对抗攻击防御策略综述
图像分类对抗机器学习:防御者的视角》是一篇探讨深度学习在图像分类领域中的最新进展及其面临的挑战的文章。随着深度学习技术在图像识别上的卓越表现,它已经广泛应用于诸如生物识别系统(如面部识别)和自动驾驶...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值