Adversarial Robustness - Theory and Practice

最新推荐文章于 2023-01-03 15:57:15 发布
最新推荐文章于 2023-01-03 15:57:15 发布
阅读量956 收藏 1
点赞数 1
分类专栏: 对抗攻击 文章标签: 对抗攻击  对抗训练  鲁棒性 科研
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skyndsc/article/details/95933816
版权
本文深入探讨了对抗性鲁棒性,包括对抗性例子的生成,如FGSM和PGD,以及如何通过对抗训练提高模型的抵抗力。在MINIST数据集上实验表明,对抗训练虽提升了对抗攻击的防御力,但会略微增加非对抗错误率。文章还讨论了外层最小化的优化策略,如凸松弛和局部搜索方法,以构建鲁棒模型。
摘要由CSDN通过智能技术生成

文章目录


Adversarial Robustness - Theory and Practice

第一章 - Introduction to adversarial robustness

我运行Adversarial Robustness-Theory and Practice.introduction代码,加载resnet50,看到在注入噪音后,pig图像被算法误认为是airliner。

第二章 - linear models

(1) 加载MINIST数据集

(2) 对数据进行常规训练,TEST_ERR错误率仅仅0.04%.

(3) 开始进行对抗攻击,随机干扰数EPSILON =0.2

(4) 实行对抗攻击,发现TEST_ERR的错误率从之前的0.04%骤升到85%左右。

(5) 然后进行鲁棒训练,最核心的是MODEL(X.VIEW(X.SHAPE[0], -1))[:,0] - EPSILON*(2*Y.FLOAT()-1)*MODEL.WEIGHT.NORM(1)

(6) 鲁棒训练完成后,任何对抗攻击不会让TEST_ERROR高于2.5%。此时非对抗攻击得到的TEST_ERROR的错误率是0.3%左右(这个结果是大于之前的0.04%的)。这是鲁棒训练20个周期的结果,我测试了下,如果加大训练周期,并不会让结果更优。
也就是说进行鲁棒训练会提升抵抗对抗攻击的能力,但是同时会小幅度提升TEST_ERROR的比率。

第三章 - Adversarial examples, solving the inner maximization

1.非针对性攻击

主要方法是FGSM和PGD。PGD是迭代更新,比FGSM的迭代次数多。但是当梯度很小的时候,传统的PGD的效果也不好,于是出现the (normalized) steepest descent method.相对于传统PGD算法,它的delta.data = (delta + alpha*delta.grad.detach().sign()).clamp(-epsilon,epsilon)。这种改进的PGD的表现仍然受到目标内局部最优可能性的限制,虽然不可能完全避免局部最优,但可以通过随机重启来缓解这个问题。

2.针对性攻击(基于改进的PGD->the (normalized) steepest descent method)

最大化真实label的损失函数,并最小化目标label的损失函数,这相当于解决内部优化问题。下面是几种损失函数设计

(1)loss = (yp[:,y_targ] - yp.gather(1,y[:,None])[:,0]).sum()

缺点:仅仅让非零数字欺骗分类器。原因在于我们是the class logit for the zero minus the class logit for the true class. 但是我们实际上并不关心其他类的情况。所以我们可以修改损失函数为下面这种。

(2)loss = 2*yp[:,y_targ].sum() - yp.sum()

缺点:不能达到100%正确率。

(3) 占个位,这个不太懂。

3.组合优化解决内部最大问题

有一些寻找边界区间界限的方法,但是被轻微扰动后,区间界限上下浮动比较大,不实用。最终用的方法是混合整数线性规划策略。代码部分主要是利用cvxpy构建了很多constraints。

关于优化这部分内容不需要细看。如果细看的话,估计2年也看不完。大概知道做什么的就行了。

第四章 - Adversarial training, solving the outer minimization

1. 方案目标

The goal of the robust optimization formulation, therefore, is to ensure that the model cannot be attacked even if the adversary has full knowledge of the model.
In other words, no matter what attack an adversary uses, we want to have a model that performs well.

2. 可选择方案

2.1 local gradient-based search (providing a lower bound on the objective) 基于局部梯度的搜索
2.2 exact combinatorial optimization (exactly solving the objective) 精确的组合优化 (不实用)
2.3. convex relaxations (providing a provable upper bound on the objective) 凸松弛

但是经过分析,法2不实用,最终的可行方案是下面两个

2.1.Using lower bounds, and examples constructed via local search methods, to train an (empirically) adversarially robust classifier.
2.3Using convex upper bounds, to train a provably robust classifier.

3. 方案实施

The basic idea is to simply create and then incorporate adversarial examples into the training process
the question arises as to which adversarial examples we should train on?

4. 代码

4.1 加载minist数据集
4.2 初始化model_cnn
4.3 定义fgsm、pgd函数
4.4 定义标准训练函数、对抗攻击函数
4.5 进行联合训练(基于cnn)

  opt = optim.SGD(model_cnn.parameters(), lr=1e-1)
   for t in range(10):
       train_err, train_loss = epoch(train_loader, model_cnn, opt)
       test_err, test_loss = epoch(test_loader, model_cnn)
       adv_err, adv_loss = epoch_adversarial(test_loader, model_cnn, pgd_linf)
       if t == 4:
           for param_group in opt.param_groups:
               param_group["lr"] = 1e-2
       print(*("{:.6f}".format(i) for i in (train_err, test_err, adv_err)), sep="\t")
   	
   torch.save(model_cnn.state_dict(), "model_cnn.pt")

So as we saw before, the clean error is quite low, but the adversarial error is quite high (and actually goes up as we train the model more). Let’s now do the same thing, but with adversarial training.
4.6 做一些happy的事情

opt = optim.SGD(model_cnn_robust.parameters(), lr=1e-1)
for t in range(10):
    train_err, train_loss = epoch_adversarial(train_loader, model_cnn_robust, pgd_linf, opt)
    test_err, test_loss = epoch(test_loader, model_cnn_robust)
    adv_err, adv_loss = epoch_adversarial(test_loader, model_cnn_robust, pgd_linf)
    if t == 4:
        for param_group in opt.param_groups:
            param_group["lr"] = 1e-2
    print(*("{:.6f}".format(i) for i in (train_err, test_err, adv_err)), sep="\t")
torch.save(model_cnn_robust.state_dict(), "model_cnn_robust.pt")

pretty good!

4.7 对比两个不同的cnn

  model_cnn_robust = nn.Sequential(nn.Conv2d(1, 32, 3, padding=1), nn.ReLU(),
                                    nn.Conv2d(32, 32, 3, padding=1, stride=2), nn.ReLU(),
                                    nn.Conv2d
最低0.47元/天 解锁文章
AbnerCV
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【大模型】大语言模型简介
程序员光剑
04-03 2万+
因此,模型规模增长是必然趋势,当推进大模型规模不断增长的时候,涌现能力的出现会让任务的效果更加出色。有趣的是,当参数规模超过一定水平时,这些扩大的语言模型不仅实现了显着的性能提升,而且还表现出一些小规模语言模型所不具备的特殊能力。如 Google 发布的多模态具身视觉语言模型 PaLM-E,由540B 的 PaLM 文本模型和 22B 的 VIT 图像模型构成,两者集成处理多模态信息,所以它的总模型规模是 566B。随着模型规模的不断增长,任务效果也持续增长,说明这类任务对大模型中知识蕴涵的数量要求较高。
LLM Based Multi-Agent System 基于 AI 大模型的多智能体系统
最新发布
AI大模型应用之禅
08-27 350
LLM-based Multi-Agent System 基于 AI 大模型的多智能体系统 > 关键词:大语言模型、多智能体系统、人工智能、协作、自主性、分布式智能、任务分解
Adversarial Robustness
my_god2008的博客
01-16 5151
Motivation: a limitation of the (supervised) ML framework\text{: a limitation of the (supervised) ML framework}: a limitation of the (superv...
清华大学董胤蓬:Adversarial Robustness of Deep Learning
读芯术的博客
01-21 2162
不到现场,照样看最干货的学术报告!嗨,大家好。这里是学术报告专栏,读芯术小编不定期挑选并亲自跑会,为大家奉献科技领域最优秀的学术报告,为同学们记录报告干货,并想方设法搞到一手的PPT和现...
Adversarial Robustness vs. Model Compression, or Both?
weixin_49171105的博客
01-03 449
众所周知,深度神经网络(DNN)容易受到对抗攻击,这种攻击是通过在良性示例中添加精心设计的扰动来实现的。基于最小-最大鲁棒优化的对抗训练可以提供对抗攻击的安全概念。然而,对抗鲁棒性需要比仅具有良性示例的自然训练更大的网络容量。本文提出了一种并行对抗训练和权重修剪的框架,该框架在保持对抗鲁棒性的同时实现了模型压缩,并从本质上解决了对抗训练的困境。此外,本工作研究了传统环境中关于权重修剪的两个假设,并发现在对抗环境中,权重修剪对于减小网络模型大小至关重要;
从Bayesian Deep Learning到Adversarial Robustness新范式
Paper weekly
12-29 505
©作者 | 王灏、毛成志单位 | Rutgers University /Columbia University研究方向 | 贝叶斯深度学习/对抗鲁棒性拖延症赶在 2021 结束前来...
文献阅读--Certified Adversarial Robustness via Randomized Smoothing
学渣的博客
04-22 2万+
关键词:adversarially robust; Gaussian noise; L2-norm; randomization 这里写自定义目录标题1 概述2 背景2.1 研究现状3 挑战 1 概述 本文通过给分类器高斯噪声处理,使得新分类器对对抗攻击足够鲁棒。本文提出了“randomized smoothing” 技术并对其进行了严密的分析,进一步揭示了L2正则项和高斯噪声的联系:==我们使用该技术来训练ImageNet分类器,例如,在l2范数小于0.5(=127/255)的对抗扰动下,认证的最高准确度
基于视觉的机器人抓取: 论文及代码(Vision-based Robotic Grasping: Papers and Codes)
热门推荐
dsoftware的博客
10-22 2万+
最近总结了基于视觉的机器人抓取的相关论文及代码,同步于github。根据抓取的类别,基于视觉的机器人抓取可以分为两类:2D平面抓取以及6D空间抓取。这个页面总结了近年来涉及到的各种各样的方法,其中大部分都使用了深度学习。总结的中文框架结构如下: 0.综述论文 1. 2D平面抓取 这类方法将抓取,用平面内旋转的矩形框表示; 1.1基于RGB或者RGB-D的方法 采用基于目标检测类的方法,直接得到2D...
Towards Adversarially Robust Object Detection 论文笔记
qq_30146937的博客
03-16 1487
前言 许多工作证明分类器在面对对抗攻击adversarial attack)时是非常脆弱的,比如有一种对抗样本,它只对原图进行很轻微地修改,但是在视觉上与原图相比是完全不同的。因此也有很多工作致力于提升分类器的鲁棒性。 最近的一些工作发现,目标检测器也会由于蓄意设计的输入而受到攻击,如下图所示,展示了标准检测器和鲁棒性更强的检测器分别检测clean和adversarial图像的效果,可以看到,标...
Video tracking - theory and practice(英文原版高清pdf)
11-06
Video Tracking provides a comprehensive treatment of the fundamental aspects of algorithm and application development for the task of estimating, over time, the position of objects of interest seen through cameras. Starting from the general problem definition and a review of existing and emerging video tracking applications, the book discusses popular methods, such as those based on correlation and gradient-descent. Using practical examples, the reader is introduced to the advantages and limitations of deterministic approaches, and is then guided toward more advanced video tracking solutions, such as those based on the Bayes’ recursive framework and on Random Finite Sets. Key features: Discusses the design choices and implementation issues required to turn the underlying mathematical models into a real-world effective tracking systems. Provides block diagrams and simil-code implementation of the algorithms. Reviews methods to evaluate the performance of video trackers – this is identified as a major problem by end-users. The book aims to help researchers and practitioners develop techniques and solutions based on the potential of video tracking applications. The design methodologies discussed throughout the book provide guidelines for developers in the industry working on vision-based applications. The book may also serve as a reference for engineering and computer science graduate students involved in vision, robotics, human-computer interaction, smart environments and virtual reality programmes
Clustering Effect of (Linearized) Adversarial Robust Models
weixin_46782905的博客
12-06 279
2021.12.6 第三篇(NeurIPS 2021)半精读
Reliable Evaluation of Adversarial Robustness with an Ensemble of Diverse Parameter-free attack
weixin_49171105的博客
08-10 656
本文首先提出了PGD攻击的两个扩展,以克服由于次优步长和目标函数问题而导致的失败。然后,我们将我们的新攻击与两个互补的现有攻击结合起来,形成一个无参数、计算负担得起且独立于用户的攻击集合,以测试对手的鲁棒性。...
图像分类中的对抗鲁棒性
qq_40021158的博客
11-02 5166
Benchmarking Adversarial Robustness on Image Classification 图像分类中的对抗鲁棒性摘要1.引言2.威胁模型2.1 攻击者的目标2.2 攻击者的能力2.3 攻击者的知识3. 攻击与防御3.1攻击方法3.2 防御4. 评估方法4.1 评价指标4.2 评估数据集和算法2.读入数据总结 摘要 深度神经网络容易受到对抗样本的攻击,这成为深度学习发展中最重要的研究问题之一。 尽管近年来已经做出了许多努力,但是对对手的攻击和防御算法进行正确而完整的评估具有重
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
Note-Certified Adversarial Robustness via Randomized Smoothing
Bule-Zst的博客
09-01 1836
randomized smoothing 其实是一项技术,基于已有的分类器,然后获取决策,这种技术具有较强的鲁棒性,因为它是根据已有鲁棒性的分类概率做决策的。
论文那些事——ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD
shuweishuwei的博客
09-12 844
第四篇ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD(物理世界中的对抗性例子) 1、摘要:现在大多数的机器学习分类器都容易受到对抗样本的攻击。当前,很多对抗样本是直接将数据(矩阵)输入至分类器中,但是在现实中,并不能直接将图片数据输入系统,而是通过相机等传感器将信号输入系统的。本文在基于此类现实环境做出相关研究。发现在此种情况下,机器学习模型仍然也是很容易受到对抗样本的攻击。作者通过手机摄像头获得对抗样本的图像,然后输入ImageNet Inception分类器中,通
论文阅读-《Towards a Robust Deep Neural Network in Texts: A Survey》
m0_37134071的博客
08-25 2938
论文下载地址:https://arxiv.org/pdf/2004.13820v1.pdf 摘要 深度神经网络(DNN)在各种任务(例如图像分类,语音识别和自然语言处理)中均取得了显著成功。但是,研究表明,DNN模型容易受到对抗性示例的攻击,这些示例会通过在正常输入中添加无法察觉的扰动而导致错误的预测。关于图像领域对抗性例子的研究已经得到了很好的研究,但是在文本上,研究还不够,更不用说对该领域进行全面的调查了。在本文中,我们旨在对文本中的对抗攻击和相应的缓解策略提供全面的了解。具体来说,我们首先从.
配置adversarial-robustness-toolbox==1.7.2 torch==1.7.1 torchvision==0.8.2 numpy argparse tqdm pandas dill cox tables tensorboardX的步骤
05-24
以下是配置adversarial-robustness-toolbox==1.7.2 torch==1.7.1 torchvision==0.8.2 numpy argparse tqdm pandas dill cox tables tensorboardX的步骤: 1. 安装anaconda或者miniconda。 2. 创建一个新的conda环境,例如命名为art_env。可以使用以下命令创建新环境: ``` conda create -n art_env python=3.7 ``` 3. 激活新创建的conda环境: ``` conda activate art_env ``` 4. 安装PyTorch、torchvision和numpy。可以使用以下命令安装: ``` conda install pytorch==1.7.1 torchvision==0.8.2 cudatoolkit=10.1 -c pytorch conda install numpy ``` 5. 安装其他必要的库,如argparse、tqdm、pandas、dill、cox、tables和tensorboardX。可以使用以下命令安装: ``` pip install argparse tqdm pandas dill cox tables tensorboardX ``` 6. 安装adversarial-robustness-toolbox==1.7.2。可以使用以下命令安装: ``` pip install adversarial-robustness-toolbox==1.7.2 ``` 7. 验证环境是否配置成功。可以在Python交互式环境中输入以下代码来验证: ``` import torch import art print("PyTorch version:", torch.__version__) print("ART version:", art.__version__) ``` 如果以上代码可以正常运行并输出版本信息,那么表示环境配置成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值