凉茶i-CSDN博客

原创论文那些事—AdvDrop: Adversarial Attack to DNNs by Dropping Information

AdvDrop: Adversarial Attack to DNNs by Dropping Information（ICCV2021）1、摘要\背景人有很强的抽象能力和联想力，例如一个由几块积木拼成的乐高玩具，小朋友也能轻易认出其中描述的场景。甚至几个像素，玩家也可以轻易认出这是哪个人物，但AI确没有那么容易识别。这不就满足了对抗样本的两个特性：1、人眼无法察觉对图片的改动 2、使机器能够识别错误为此，我们提出了一种新的对抗性攻击，名为AdvDrop，它通过删除图像的现有信息来制作对..

2022-05-19 15:09:51 1519 11

原创对抗样本代码问题总结（持续更新~）

1、shuffle=True用于打乱数据集，每次都会以不同的顺序返回2、data_clean（）数据清洗，排除一些无法输入的数据3、pretrained=True远程获取已训练好的模型参数4、item（）取出单元素张量的元素值并返回该值，保持原元素类型不变。,即：原张量元素为整形，则返回整形，原张量元素为浮点型则返回浮点型5、img = img.convert("RGB") 将4通道改为3通道6、torch.tensor.detach()：从计算图中分类，并返回一个新的张量，并且这个新

2022-02-09 20:38:52 2747

原创对抗样本遇到的坑（2）

1、保存时的代码问题经过（1）的坑后，本以为没问题了，还特进行了封装，最后保存的图片如下：乍一看好像没什么问题（左边为原图，右边为生成的对抗样本），经过细致的Debug发现问题很大，首先原图显式的是经过归一化后的结果，这个错误直接导致我觉的显式和保存没问题，但后面的图像如下：这就很离谱了，当时还在错误的观念里，一致认为是算法的原因，结果换了几个算法还是这样，赶忙找了一另一个可视化代码：这下区别就很大了，对抗样本严重失真，看了别人的代码终于知道问题出在哪里了（保存的代码..

2022-01-19 20:14:37 3616 9

原创对抗样本保存中遇到坑（1）

从暑假开始就一直在尝试保存图片，奈何没有图像基础，尝试几天后放弃了，想着到学校后能不能问一问，开学后一直在读论文也没动手，寒假回到家开始跑实验了，而对抗样本代码整合还是不好做的，唯一好做的我认为应该是收集足够的对抗样本做实验，顺便说一下对抗样本是没有数据集的，实验数据都要自己生成，所以又回到了老问题，图像保存........1、pytorch没有内置函数能够保存tensor格式的数据类型，需要转换adv=(pig_tensor + delta)[0].detach().numpy()adv表示

2022-01-19 19:42:02 3719

原创注意力机制工作原理详解

1、什么是注意力机制注意力机制的有多种多样的实现形式，监管实现方式多样，但是每一种注意力机制的实现的核心都是类似的，就是注意力。注意力机制的核心就是让网络关注它更需要关注的地方，注意力机制一般以权重的方式体现。一般注意力机制分为通道注意力机制，空间注意力机制，和两者的结合。2、空间注意力机制关注特征点，或者说特征区域，比如识别一张鸟的图片，相对应让鸟头、翅膀位置的权重变得更大一些。3、通道注意力机制顾名思义，关注哪个通道更加重要，图像的通道数在网络中不是一直保存不变的，尤其是经过

2022-01-18 17:00:25 6577

原创 10个python编程技巧

1、变量的交换2、字符串格式化（ + 号做字符串拼接）format（）在这里是字符串对象的一个方法另一种写法python≥3.6（f-string）3、Yield语法return nums应该输出和return的区别是执行yield一个数值后，函数并不会马上返回，优势在于非常耗时的操作4、列表解析式x.upper（）将x的首字母变为大写新的列表由x构成，而x来自fruit列表，并且需要满足 if 语句中的条件，即首字母为...

2022-01-14 21:18:43 299

原创混淆矩阵（Confusion Matrix）

1、定义混淆矩阵是评判模型结果的指标，属于模型评估的一部分。此外，混淆矩阵多用于判断分类器（Classifier）的优劣。这张图主要看深蓝色部分，横轴表示真实标签，纵轴表示预测标签，对角线深蓝色部分表示真实标签=预测标签的部分，其他地方表示预测错误的分类。2、TP、FP、FN、TN3、计算公式...

2022-01-03 12:46:57 5545 1

原创论文那些事—Sparse and Imperceivable Adversarial Attacks

《稀疏和无法感知的对抗攻击》ICCV2019Croce F, Hein M. Sparse and imperceivable adversarial attacks[C]//Proceedings of the IEEE/CVF International Conference on Computer Vision. 2019: 4724-4732.1、摘要高度稀疏的对抗攻击对神经网络是一个致命的威胁，但另一方面，稀疏攻击的像素扰动值通常很大，容易被检测出来。本文提出一种黑盒技术制作对抗样

2021-12-30 16:59:07 463

原创论文那些事—Improving the Transferability of Adversarial Samples with AdversarialTransformations

Improving the Transferability of Adversarial Samples with Adversarial Transformations（算法：ATTA，CVPR2021）1、摘要提出一种对抗变换网络，对数据增强进行模拟，并得到对对抗样本影响最大的变换，最后优化时消除这种影响，提高对抗样本的鲁棒性，也就是提高对抗样本的迁移性。之前大部分论文中基于数据增强来提升对抗样本的迁移性都是针对单张图片的单种变换，如裁剪、缩放、亮度、对比度等等。总体来说这些变换没有什么交集

2021-12-20 19:15:59 519

原创论文那些事—Meta Gradient Adversarial Attack

Meta Gradient Adversarial Attack（ICCV2021，MGAA）1、摘要受元学习思想的启发，本文提出了一种新的体系结构元梯度对抗攻击(Meta Gradient Adversarial Attack, MGAA)是一种即插即用的攻击方法，可以与现有的任何一种基于梯度的攻击方法集成，以提高跨模型的可移动性。具体来说，从一个模型集合中随机抽样多个模型来组成不同的任务，并在每个任务中分别模拟白盒攻击（选取多个模型）和一个黑盒攻击（只有一个模型）。通过缩小白盒攻击和黑盒攻击的梯

2021-12-08 16:15:11 810 6

原创论文那些事—Boosting the Transferability of Adversarial Samples via Attention

Boosting the Transferability of Adversarial Samples via Attention（CVPR2020，ATA）1、摘要本文主要以提高对抗样本的迁移性为目的，黑盒攻击在真实情况中才最常发生。首先关于注意力机制，粗略的描述就是“你正在做什么，你就将注意力集中在那一点上”。本文也是首次将注意力机制运用在对抗样本上，注意力主要由反向传播的梯度构成。本文贡献主要有三个：提出了一种新的策略来提高对抗性图像的可转移性。它的特点是引入模型注意来正则化对抗噪

2021-12-07 18:33:57 2398 2

原创论文那些事—NESTEROV ACCELERATED GRADIENT AND SCALEINVARIANCE FOR ADVERSARIAL ATTACKS

NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS（ICRL2020,NI-FGSM,SIM）1、摘要在本文中，我们从将对抗性例子的生成作为一个优化过程的角度出发，提出了两种提高对抗性例子可转移性的新方法，即Nesterov迭代法快速梯度符号法(NI-FGSM)和缩放不变攻击法(SIM)。NI-FGSM的目标是将Nesterov加速梯度引入迭代攻击中，从而有效地向前看，提高对抗性样本的迁移性。本文贡

2021-12-06 20:32:07 4168

原创论文那些事—Admix: Enhancing the Transferability of Adversarial Attacks

Admix: Enhancing the Transferability of Adversarial Attacks（ICRL2021）1、摘要人们提出了各种方法来提高对抗样本的迁移性，其中输入多样性是最有效的方法之一。我们朝着这个方向进行研究，发现现有的转换都应用于单个图像，这可能会限制对抗性的迁移性。为此，我们提出了一种新的基于输入变换的攻击方法，称为混合攻击（Admix），该方法考虑了输入图像和从其他类别随机采样的一组图像。与直接计算原始输入上的梯度不同，“混合”计算的梯度与每个附加模块图像

2021-12-05 16:07:38 2279

原创论文那些事—Enhancing the Transferability of Adversarial Attacks through Variance Tuning

Enhancing the Transferability of Adversarial Attacks through Variance Tuning（CVPR2021）1、摘要作者提出一种方法——varirance tuning,其增强了基于梯度迭代攻击方法，提高了攻击的迁移性，即对黑盒攻击的成功率。此方法是在基于梯度的攻击方法上进行优化，如在MI-FGSM中添加varirance tuning，则变为了VMI-FGSM。2、相关工作在梯度计算的每次迭代中，不是直接使用动量梯度，我们进一

2021-12-05 10:30:07 974

原创论文那些事—Feature Importance-aware Transferable Adversarial Attacks

Feature Importance-aware Transferable Adversarial Attacks（FIA,ICCV 2021）1、摘要基于迁移性的黑盒攻击，中间层攻击。首先利用 aggregate gradient获取迁移性更好的梯度信息，本文中认为梯度信息代表了该点的feature importance，然后通过抑制比较重要的feature，增强比较不重要的feature，来干扰模型最终的判断。从图中可以看出传统的攻击方式生成的对抗样本在黑盒攻击中会被弱化，甚至无效，.

2021-12-04 13:41:42 1289

原创论文那些事—Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks

Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks（TI-FGSM，CVPR2019）1、摘要在本文中，我们提出了一种平移不变攻击方法，以产生更多可转移的对抗样本对抗防御模型。通过优化平移图像的整体摄动，生成的对抗示例对被攻击的白盒模型不那么敏感，并且具有更好的可移植性。为了进一步提高攻击的效率，本文证明了我们的方法可以通过将未翻译图像的梯度与预定义的核进行卷积来实现。我们的方法

2021-12-02 11:35:00 736

原创论文那些事—SKIP CONNECTIONS MATTER: ON THE TRANSFER-ABILITY OF ADVERSARIAL EXAMPLES GENERATED WITH RESNE

SKIP CONNECTIONS MATTER: ON THE TRANSFER-ABILITY OF ADVERSARIAL EXAMPLES GENERATED WITH RESNETS（ICLR2020）1、摘要关于ResNet的介绍可以看我以往的文章，虽然刚开始写的比较烂，哈哈哈哈https://blog.csdn.net/shuweishuwei/article/details/120151499?spm=1001.2014.3001.5501跳接（skip connection）

2021-11-25 20:44:08 724

原创论文那些事—Enhancing the Transferability of Adversarial Attacks through Variance Tuning

Enhancing the Transferability of Adversarial Attacks through Variance Tuning（CVPR2021）原文链接https://arxiv.org/abs/2103.155711、摘要现有的基于梯度的攻击手段在白盒中能够取得不错的效果，但迁移到黑盒上后攻击性能就大大降低了。本文提出了一种称为方差调整的新方法来增强基于梯度的迭代攻击方法，并提高其攻击可转移性。具体地，在梯度计算的每次迭代中，而是直接使用动量梯度，进一步考虑前一次迭

2021-11-23 14:03:10 1651

原创论文那些事—Image Super-Resolution as a DefenseAgainst Adversarial Attacks

Image Super-Resolution as a Defense Against Adversarial Attacks（A类TIP期刊2020）1、摘要卷积神经网络在多个计算机视觉任务中取得了显著的成功。然而，它们很容易受到精心制作、人类难以察觉的对抗噪声模式的影响。本文提出了一种计算效率高的图像增强方法——图像超分辨率，该方法提供了一种强大的防御机制，有效地减轻了这种对抗性扰动的影响。防御主要分为两类：1、无法识别真实样本和对抗样本，但经过图像超分辨率修复后，都能被模型识别为正确的标签。2

2021-11-21 17:49:15 2317

原创论文那些事—ComDefend: An Efficient Image Compression Model to Defend Adversarial Examples

ComDefend: An Efficient Image Compression Model to Defend Adversarial Examples（CVPR2019）1、摘要在本文中，我们提出了一种端到端的图像压缩模型来防御对抗性示例：ComDefende。该模型由压缩卷积神经网络（ComCNN）和重构卷积神经网络（RecCNN）组成。ComCNN用于保持原始图像的结构信息，并消除对抗性干扰。利用RecCNN对原始图像进行高质量的重建。换句话说，ComDefense可以将敌对图像转换为干净

2021-11-16 10:14:40 3182

原创论文那些事—DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS

DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS（ICLR2018）1、摘要/背景目前用于生成对抗扰动的大多数方法要么依赖于详细的模型信息（基于梯度的攻击)，要么依赖于置信度分数，例如类概率（基于分数的攻击)，这两种能力在大多数现实世界场景中都不可用。在许多此类情况下，人们目前需要退回到基于迁移的攻击，这些攻击依赖于繁琐的替代模型，而且需要访问训练数据并且可以防.

2021-11-11 18:45:51 2799

原创论文那些事—Black-box Adversarial Attacks with Limited Queries and Information

Black-box Adversarial Attacks with Limited Queries and Information（ICML2018）1、摘要黑盒模型是指只能获得它的输入输出，但在真实世界中，黑盒模型往往连输入输出都有一定限制，比如限制查询次数，当过度频繁访问一个模型，模型有可能自锁不允许访问，针对现实世界的黑盒模型，作者提出三个真实的威胁模型：查询量有限、部分信息设置和仅标签有限。针对这三个问题，作者提出了一种新的黑盒攻击方法。本文受自然进化策略（NES）的启发，提出使用NES作

2021-11-10 16:55:36 943

原创论文那些事—EXPLORING THE SPACE OF BLACK-BOX ATTACKS ON DEEP NEURAL NETWORKS

EXPLORING THE SPACE OF BLACK-BOX ATTACKS ON DEEP NEURAL NETWORKS（ICLR2018）1、摘要\背景提出了一种新的梯度估计黑盒攻击的对手与查询访问目标模型的类概率，不依赖于可移植性。我们还提出了一些策略，将生成每个对抗样本所需的查询数量与输入的维度解耦。2、方法基于随机分组减少查询使用主成分减少查询3、总结在本文中，我们对新的和现有的针对最先进分类器和防御的黑盒攻击进行了系统分析。我们提出了梯度估计攻击，其攻击成功率可

2021-11-07 15:38:05 173

原创论文那些事—ZOO: Zeroth Order Optimization Based Black-box Attacks

替代模型是指利用类似分布的数据集，或者利用多次输入输出的结果，训练一个新的模型，并在新的模型上进行反向传播，进而得到一个对抗样本。

2021-11-04 11:31:44 4002 1

原创论文那些事—Query-Efficient Black-Box Attack by Active Learning

基于主动学习的高效黑盒攻击1、摘要\背景为了进行黑盒攻击，一种流行的方法是基于从目标DNN查询的信息来训练替代模型。然后可以使用现有的白盒攻击方法攻击替代模型，生成的对抗样本将用于攻击目标DNN。尽管其结果令人鼓舞，但这种方法存在查询效率低下的问题。攻击者通常需要查询大量的时间来收集足够的信息来训练准确的替代模型。为此，我们首先利用最先进的白盒攻击方法生成查询样本，然后引入主动学习策略以显著减少所需的查询数量。此外还提出一个多样性准则来避免主动学习带来的偏差。主要贡献总结如下：在基于传输的框

2021-10-30 20:38:13 301

原创论文那些事—Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser

1、摘要\背景想到对抗样本的防御，一个很自然饿想法是能不能将添加的扰动去掉，但目前为止没有任何一个算法或者模型能完全将扰动去掉复原原始图像，最常用的方法是去噪，去掉对抗样本扰动所带来的的影响，即对抗样本失效，机器能够识别为原来的标签，但去噪后的图像与原图像依然存在着差异。本文提出标准去噪器受到误差放大效应的影响，在误差放大效应中，小的残余的对抗性扰动被逐渐放大，并导致错误的分类。HGD通过使用一个损失函数克服了这个问题，该损失函数定义为干净图像和去噪图像激活的目标模型输出之间的差异。我们尝试用了一些

2021-10-19 16:13:37 1427

原创论文那些事—Learning Deep Features for Discriminative Localization

1、摘要/背景论文主要针对图片中不同类别物体定位的弱监督学习问题，提出了基于分类网络的图片识别与定位。在分类模型中，卷积层本身带有物体定位功能，比如一个物体在左上角，那么卷积之后的结果 feature-map在左上角的值会比较大。但分类网络中都带有全连接层，它是将feature-map所有位置的信息综合之后输出，和物体的具体位置无关，只关心最后的分类结果。作者想到丢失物体位置信息就是因为网络末端使用了全连接层，通过使用GAP代替全连接层，从而使卷积网络的定位能力延续到网络的最后一层（GAP并不是本文提出

2021-10-16 18:44:00 170

原创论文那些事—SmsNet: A New Deep Convolutional NeuralNetwork Model for Adversarial Example Detection

SmsNet: A New Deep Convolutional Neural Network Model for Adversarial Example Detection1、摘要及背景防御对抗样本攻击的现有方法分为被动防御和主动检测。被动防御方法，包括对抗性训练、梯度掩蔽和输入转换，已应用于训练DNN，在一定程度上保护DNN免受对抗样本的影响。这些方法只增强了网络的鲁棒性，对未知的对抗样本影响不大。主动检测方法，包括样本统计、训练检测器和预测不一致性，已被用于清理数据集，以避免DNN在训练或测试

2021-10-12 16:45:57 685

原创论文那些事—One Pixel Attack for FoolingDeep Neural Networks

One Pixel Attack for Fooling Deep Neural Networks（愚弄深层神经网络的单像素攻击）1、摘要

2021-10-11 17:20:10 510

原创论文那些事—DeepFool: a simple and accurate method to fool deep neural networks

Elastic-Net Attacks to Deep Neural Networks via Adversarial Examples（通过对抗样本对深层神经网络的弹性网络攻击）1、摘要及背景

2021-10-08 13:17:03 656

原创论文那些事—Towards Evaluating the Robustnessof Neural Networks

Towards Evaluating the Robustness of Neural Networks（神经网络鲁棒性评价）1、摘要及背景2016年提出一中蒸馏网络的防御方法(梯度屏蔽），蒸馏网络的作者声称防御蒸馏能够击败现有的攻击算法，并且将他们的攻击成功率从95%降低到5%。这种防御方法通常用于任何前馈神经网络，只需要一个单独的训练步骤，就能够防御当前所存在的对抗样本。本文作者对防御性的蒸馏网络提出了挑战，设计出了一种基于优化的对抗攻击方法。蒸馏网络（Distillation）：“蝴蝶以.

2021-09-28 10:53:15 670 1

原创论文那些事—The Limitations of Deep Learningin Adversarial Settings

论文标题：对抗环境下深度学习的局限性1、摘要

2021-09-23 19:43:02 602

原创论文那些事—TOWARDS DEEP LEARNING MODELS RESISTANT TO ADVERSARIAL ATTACKS

第七篇论文TOWARDS DEEP LEARNING MODELS RESISTANT TO ADVERSARIAL ATTACKS(针对防御对抗性攻击的深度学习模型)1、摘要(研究背景、解决什么问题)本文从鲁棒优化的角度研究了神经网络的对抗鲁棒性，以往也有方法和本文研究的方向一致，如：防御蒸馏、特征压缩等其他对抗检测的方法，但这些方法只在某种程度或应用上是有效的，并且明确地给出这些方法的适用性及适用范围。那么如何训练模型，使模型对对抗输入具有鲁棒性？这是本文提出的问题。文中提出PGD这种一阶的

2021-09-16 19:18:40 266

原创论文那些事—Improving Transferability of Adversarial Examples with Input Diversity

第六篇Improving Transferability of Adversarial Examples with Input Diversity(通过输入多样性提高对抗样本的迁移性)1、摘要cnn在视觉领域已经取得了非常好的效果，但在对抗样本面前依然非常脆弱，尤其是面对黑盒模型时，攻击率更低。本文介绍通过输入多样性来提高对抗样本的迁移性，从而产生对于白盒攻击和黑盒攻击都高的对抗样本。此论文和MI—FGSM解决的是同一个问题，只是解决方法不同。文中提出：现有的方法是单步攻击(FGSM)和迭代

2021-09-15 14:04:29 776

原创论文那些事——Boosting Adversarial Attacks with Momentum

第五篇Boosting Adversarial Attacks with Momentum(用动量增强对抗性攻击)1、摘要（文章主要解决什么问题）提出一种广泛的基于动量的迭代算法来增强对抗性攻击，该方法可以在迭代过程中稳定更新方向并避免局部极大值，解决了对抗样本生成算法对于黑盒模型的低成功率问题。文中提及到：对抗样本的移植性是由于不同的模型在数据点周围学习到相似的决策边界这一特性导致的，使得同一对抗样本可以攻击不同模型。以往的FGSM、I-FGSM得到的对抗样本移植性较差，对黑盒模型的攻

2021-09-14 13:14:16 423

原创论文那些事——ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD

第四篇ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD(物理世界中的对抗性例子)1、摘要：现在大多数的机器学习分类器都容易受到对抗样本的攻击。当前，很多对抗样本是直接将数据（矩阵）输入至分类器中，但是在现实中，并不能直接将图片数据输入系统，而是通过相机等传感器将信号输入系统的。本文在基于此类现实环境做出相关研究。发现在此种情况下，机器学习模型仍然也是很容易受到对抗样本的攻击。作者通过手机摄像头获得对抗样本的图像，然后输入ImageNet Inception分类器中，通

2021-09-12 17:08:07 801

空空如也

空空如也