One Pixel Attack for Fooling Deep Neural Networks(愚弄深层神经网络的单像素攻击)
1、摘要
以往的攻击如FGSM、I-FGSM修改了所有像素点,JSMA则是选择性的修改像素点,不管哪种方法,修改的像素点都不止一个。本文考虑一种极限条件下的攻击情况,只修改一个像素点达到对图片的攻击。本文提出了一个基于差分进化生成单像素的对抗性扰动。可以以最小攻击信息的条件下,对更多类型的网络进行欺骗。
2、方法
限制修改的数量(只能修改一个点),而不限制修改的扰动大小。其实最先想到的方法是暴力破解,即每个像素点都修改一个次,然后放入模型中跑,最后比较得出到底修改哪个像素点可以实现让模型识别错误,但这个方法耗时耗资源,意义不大。本文作者提出采用差分进化算法(DE)来选取最合适的像素点。DE不使用梯度信息进行优化,因此不要求目标函数可微或之前已知。因此,与基于梯度的方法相比,它可以用于更广泛的优化问题(例如,不可微、动态、噪声等)。
使用DE算法有以下优势:
- 找到全局最优解的概率更高
- 目标系统提供较少的信息
- 简易性,只需要知道概率标签就够了
DE的步骤:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
