论文那些事—Sparse and Imperceivable Adversarial Attacks

最新推荐文章于 2024-06-19 18:06:31 发布
最新推荐文章于 2024-06-19 18:06:31 发布
阅读量478 收藏 3
点赞数 1
文章标签: 安全 神经网络 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuweishuwei/article/details/122239601
版权

《稀疏和无法感知的对抗攻击》

ICCV2019

Croce F, Hein M. Sparse and imperceivable adversarial attacks[C]//Proceedings of the IEEE/CVF International Conference on Computer Vision. 2019: 4724-4732.

1、摘要

高度稀疏的对抗攻击对神经网络是一个致命的威胁,但另一方面,稀疏攻击的像素扰动值通常很大,容易被检测出来。本文提出一种黑盒技术制作对抗样本,为了进一步提高不可感知性,算法可以添加额外的约束,使得像素仅在高变化区域发生变化并避免沿轴对齐边缘发生变化。

高变化区域理解为色彩丰富的区域(下图鸟翅膀的位置)

左上角:红框为被放大的原图像

右上角:l_{0} 攻击所产生的像素改变,白点非常明显(l_{0} 攻击只限制修改像素点的数量,而不限制扰动大小)

左下角:对 l_{0}  攻击加上 l_{\infty } 攻击的扰动限制,明显改善像素上的视觉效果

右下角:本文提出的稀疏攻击,无法感知

2、方法论

考虑到图像结构,应该特定于图像进行局部约束。作者提出了2个目标:

  1.  不希望沿着与坐标轴对齐的边缘进行更改,因为它们很容易被发现和检测。
  2. 不想改变太多的颜色,而只是调整它的强度,保持它的饱和度水平。

于是作者引入x和y轴上的标准差  和 [公式] ,定义 [公式] 。通过这种方式,我们既扩大了可能的对抗样本的空间,又防止了零方差区域的扰动。该攻击称为 [公式] map,其扰动定义为:

 多通道形式为:

 3、实验结果

下表中显式了黑盒和白盒、成功率以及改变像素的数量

 4、总结

思想很好,使扰动也变得不可感知。

 

凉茶i
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文阅读——Sparse-RS: a Versatile Framework for Query-Efficient Sparse Black-Box Adversarial Attacks
yayayamaomaoya的博客
08-11 213
黑盒设置下提出了一种基于得分的非目标和目标对抗攻击, Sparse-RS。该攻击方法并没有依赖替代模型就实现了最先进的攻击能力。
科研速记(7):对抗样本篇-ICCV19-Sparse and Imperceivable Adversarial Attacks
weixin_38316806的博客
11-30 1130
一、摘要 Motivation 与pixel-wise 的扰动相比,高度稀疏的对抗攻击是更加危险的,因为更加不易被侦测到。 因此,本文的研究中心在于最小化对抗样本与干净样本之间的l0l_0l0​距离。 简述本文工作 intergrate additional bounds on the component-wise perturbation pixels change only in t...
2021-10-28 | 读Sparse and Imperceptible Adversarial Attack via a Homotopy Algorithm
zxxwill的博客
10-29 407
动机 Sparse adversarial attacks can fool deep neural networks (DNNs) by only perturbing a few pixels (regularized by‘0norm). Recent efforts combine it with another‘∞imperceptible on the pertur- bation magnitudes. The resultant sparse and im- perceptible at
Transferable Sparse Adversarial Attack
weixin_49171105的博客
08-21 718
本文主要研究了基于0-范数的稀疏对抗攻击,这种攻击只需要修改图像中的几个像素点就可以成功,但先验稀疏攻击方法由于对目标模型过拟合,在黑盒协议下的可转移性比较低,本文引入一种生成器架构来缓解过拟合问题,以提高其可转移性。这种框架,将原始图像输入生成器,通过一次前馈推理快速获得对抗图像,不需要梯度反向传播。该框架将对抗扰动解耦为两个分量,分别控制畸变大小和被扰动像素的位置。然后再位置图上应用稀疏正则化,以达到满意的稀疏性,映射的每个点都是一个二进制值,即0/1,这会导致离散优化问题。
稀疏表示(Sparse Representations)
小C的博客
07-16 1225
【时间】2019.07.16 【题目】稀疏表示(Sparse Representations)(转) 稀疏编码、字典学习 稀疏表示(Sparse Representations)
OpenAI最新研究:“对抗样本”能轻易黑掉AI系统,如何抵御?
weixin_34236497的博客
08-01 138
雷锋网(公众号:雷锋网)按:近日,OpenAI发表最新研究,论述了AI安全领域的一大隐忧:“对抗样本”,它可以轻易地让机器学习系统产生误判,这会对AI的应用实践产生影响。在这篇由“GANs”之父Ian Goodfellow领衔撰写的文章里,OpenAI针对“对抗样本”进行了防御策略的实验,其中有两种方法效果显著,但也并不能解决根本问题。OpenAI...
科研篇四:对抗样本20篇-ICML2019
weixin_38316806的博客
10-22 1683
文章目录一、对抗攻击(Adversarial Attack)1.1.Adversarial Attacks on Node Embeddings via Graph Poisoning1.2.Adversarial camera stickers: A physical camera-based attack on deep learning systems二、对抗防御2.1.Using Pre-...
论文研究-Sparse Discriminative Analysis and Its Application in Distraction Classification .pdf
08-17
稀疏区分分析及其在分心检测中的应用,,, 稀疏区分分析(Sparse Discriminant Analysis, SDA) 通过在目标函数中加入 $l$-1规范使得线性区分性模型的参数具有疏稀性。这一方法在机器学�
Sparse and Redundant Representations
03-21
Sparse and Redundant Representations
Visual tracking by sparse representation and global measure
02-10
Visual tracking by sparse representation and global measure
Sparse representation and low-rank approximation for sensor signal processing
02-07
Sparse representation and low-rank approximation for sensor signal processing
(待续)科研速记(1):图像去噪篇ICCV19-Fully Convolutional Pixel Adaptive Image Denoiser
weixin_38316806的博客
11-20 1214
一、概览 面向的问题 贡献 数据集 论文实验效果 复现实验效果 FC-AIDE 自适应图像去噪 1.扩展了AIDE的框架,该框架将去噪器表达为基于上下文的像素级别的映射2.使用全卷积增强基础的监督模型3.引入正则化方法来进行自适应的微调来获得更强和更鲁棒的自适应性 Set5set12BSD68Urban100Manga109 SOTA 二、相关工作 2.1基于深度学习的去噪...
科研速记(2):ICCV19-Wavelet Domain Style Transfer for an Effective Perception-distortion Tradeoff
weixin_38316806的博客
11-20 659
Zeros Paper:Wavelet Domain Style Transfer for an Effective Perception-distortion Tradeoff in Single Image Super-Resolution 一、概览 面向的问题 贡献 数据集 论文实验效果 复现实验效果 SISR任务中的感知-失真的trade-off 1.利用SWT将图分解成高...
深度学习的黑魔法防御术:恶意样本(Adversarial Example) 的防御策略综述
白马负金羁
12-30 6084
随着深度学习研究的深入,相关应用已经在许多领域展现出惊人的表现。一方面,深度神经网络(DNN)的强大能力着实吸引着学术界和产业界的眼球。另外一方面,深度学习的安全问题也开始引起广泛地关注。对于一个给定的深度神经网络,经过训练,它可能在具体任务上的表现出甚至超过人类。但是在原本能够被正确分类的图像中引入稍许(人眼不易察觉的)扰动,神经网络就可能被误导,从而导致错误的结果。经过精心调整的能够误导神经网络的输入就被称为是恶意样本(Adversarial Example)
2020 科大讯飞全球开发者大会节目单来了!
我爱计算机视觉
10-15 710
我爱计算机视觉微信号:aicvmlQQ群:805388940微博知乎:@我爱计算机视觉投稿:amos@52cv.net网站:www.52cv.net在看,让更多人看到 点击官网立即报名...
深信服终端安全管理系统EDR版本升级过程
m0_64423407的博客
06-19 195
深信服终端安全管理系统EDR版本升级统一端点安全管理系统aES
在物联网设备安全中,如何有效进行固件更新管理?
2403_84237550的博客
06-17 355
• 更新后持续监控设备状态,评估更新效果,及时发现并解决更新带来的新问题。在物联网设备安全中,有效进行固件更新管理是一个关键环节,涉及到多个步骤和策略,以确保更新过程既安全又高效。• 在部署固件更新前,进行全面的安全验证和兼容性测试,确保更新包的来源可靠,未被篡改,并且不会影响设备的正常运行。• 记录每次固件更新的详细信息,包括更新时间、版本号、更新内容和操作人员等,以便追溯和审计。• 加强用户对固件更新重要性的认识,教育用户如何正确执行和验证更新,提升整体安全意识。
安全】Linux Fanotify使用入门
最新发布
追寻梦想的青春
06-19 486
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的件,根据件中给出的参数获取文件的路径、件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
第九站:Java黑——安全编码的坚固防线
hummhumm的专栏
06-16 463
通过上述三个示例(加密解密、防止SQL注入、防止XSS攻击),我们看到了Java中实现安全编码的一些基础实践。记住,安全是一个多层面的问题,除了这些基本措施外,还应考虑使用最新的安全框架和库,进行定期的安全审计,以及培养良好的开发习惯,如最小权限原则、代码审查等,以构建更加健壮和安全的应用程序。
smooth and sparse optimal transport
10-22
光滑稀疏最优运输是一种用于计算两个概率分布之间的最佳匹配的数学方法。在传统最优运输问题中,我们试图找到通过最小化运输成本将一个概率分布变为另一个概率分布的最佳方法。然而,在实际应用中,我们经常希望找到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值