WDK李宏毅机器学习第五周01_Attack ML models

最新推荐文章于 2022-05-22 17:57:39 发布
最新推荐文章于 2022-05-22 17:57:39 发布
阅读量178 收藏 1
点赞数
文章标签: 深度学习 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunningzhzh/article/details/116745706
版权

文章目录

摘要

在现实生活中,一个好的程序往往还需要有较高的安全性能,machine learning的model也不例外,对mechine learning的model attack主要是给输入加一些人为处理过的杂讯,然后导致model输出错误或者做出一些攻击者想让其做的事情。本文阐述了attack能够实现的理论基础,介绍了一些常见的攻击方法如FGSM攻击的思想,阐述了White Box和Black Box 的attack的基本思想,说明了acctak从虚拟世界转化到现实世界可能性与常见的问题。还介绍的基本的防御手段:Passive Defense和Proactibe Defense,前者是被动防御,后者是主动防御。

一、Attack

1.1 Motivation

machine learning用在日常生活中,光是好是不够的,还需要对抗带有恶意的攻击。目前攻击是比较容易的,防御比较困难。

1.2 Attack是怎样的

给模型输入中加入一些杂讯,这些杂讯是人为处理过的,最后使得模型输出结果错误。
在这里插入图片描述

1.3 Loss Function for Attack

  1. Non-targeted Attack: 找一个输入,让得到的输入离正确输出越远越好。
  2. Targeted Attack: 找一个输入,希望输出离正确输出越远越好,离设计的错误输出的目标值越近越好。
  3. 总的约束(constraint): 我们希望输入和原本的输入越接近越好,这样就不容易被发现。
    在这里插入图片描述

1.4 How to Attack

和train machine leaening model时差不多,这里也是用gradient的方法来求解,不过Attack时,是将输入x作为train的对象,同时在train时加上对x范围约束条件,保证x变化很小,小到人很难分辨出来。
在这里插入图片描述

1.5 What happened?

输入是多维空间上的变量,在某些特别方向上,x只需要改变一点点,输出就会完全不一样。
在这里插入图片描述

1.6 Attack Approaches

attack的方法特别多,它们的不同之处往往是在于它们用不同的constraints和计算loss function的方法。
在这里插入图片描述

1.6.1 Fast Gradient Sign Method(FGSM)

更新x的方法是,x* = x0 - ε △x。
其中ε是约束的最大值。
△x是x的gradient的符号,gradient为正,△x=1,gradient为负,△x=-1。
在这里插入图片描述
在FGSM中,我们只在乎gradient的方向,不在乎大小。它的原理就像设置了一个很大的leran rate,一次就会直接超出约束 ,然后令x*= ε 或者x*=- ε 。

1.7 White Box vs Black Box

1.7.1 White Box

White Box Attack是知道network参数,然后我们通过network参数来得到攻击的x*。

1.7.2 Black Box

Black Box Attack是不知道network参数,我们通过network的train data,去模拟一个同样功能的network*,然后攻击network得到x,用得到的x*再来攻击network,往往也是可以成功的。
在这里插入图片描述

1.7.3 Universal Adversarial Attack

不需要为每一张image都找不同的杂讯,我们可以为所有的image找同一个△x,即x* = x+△x,x*可以使所有的结果错误。
在这里插入图片描述

1.7.4 Adversarial Reprogramming

改变一个network原来想做的事情,让它去做攻击者想让它去做的事情。
在这里插入图片描述

二、真实世界的攻击

问题:真实的世界mechine是从镜头看世界,那些微小的杂讯透过镜头后mechine可能会看不见,这样的攻击也许没有效果。洗衣机的实验表明,微小的杂讯确实会对结果产生影响。

2.1 对人脸识别的攻击

加杂讯在人脸上不合理,所以将杂讯变成一个眼镜。
在这里插入图片描述
再将该眼镜做成真实世界的东西。
在这里插入图片描述
带上该眼镜的人,人脸识别系统就会出现辨识错误,将其辨识为其他人。
在这里插入图片描述
将眼睛做成真实世界的东西时,也是需要考虑很多东西的,因为真实世界是3D的,所以我们需要让其在不同的角度下,都可以攻击成功。

三、Defense

3.1 Passive Defense

不对修改model,只是在model上加一些保护措施,如在数据输入前,加上一个Filter,如对该图片进行Smoothing处理。

为什么会成功,可以试着这样理解,就是加上杂讯后的图片,它只有在极少数维度且很窄的区域上会被辨识成Keyboard的概率高,所以我们加上Smoothing处理后,很有可能会将杂讯的影响力大大降低,而对正确的结果不会有太大影响。根据这样子的思想,设计了一个方法叫做Feature Squeeze。

3.1.1 Feature Squeeze

原理:首先将输入不经过处理直接传入模型得到输出y,再将输入经过squeeze1处理后传入模型得到输出y1,再将输入经过squeeze2处理后传入模型得到输出y2,用分别与y1,y2进行比较,若差距很大,我们就知道输入可能是被attack了。
在这里插入图片描述

3.2 Proactive Defense

3.2.1 思想

在train时,将network的漏洞找出来,再补起来。

3.2.2 过程

  1. 用training data 去train一个model。
  2. 分别对每一张图片,加上一些杂讯,得到x*,作为输入,对model进行攻击,攻击成功的x*给其标上正确的label,作为training data,重新进行第一步的步骤进行训练,反复多次,得到一个具有自我防御能力的model。
    缺陷:假如找漏洞用的是a方法,别人攻击时,用的是b方法,攻击还是很有可能会成功的。

展望

从目前看来,对mechine learning model的攻击是很容易的,相反防御则比较难,具体表现在,第一:防御的不够全面,加上防御措施后的model仍然有很多漏洞。第二:防御手段容易被攻击手段破解,甚至有些都不需要破解,可以直接绕开。

原来如此-
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
6——Attack ML Models
weixin_41937876的博客
08-02 556
6——Attack ML Models 今天主要学完了Attack ML Models部分,攻防。 这张图概括的很好 训练时是用固定data去生成Network,Network是会变化的,找到一个较好的Network,而Attack有点类似于测试,固定Network结构,用和trainging data相类似的image去让model判断出错误的结果,越离谱越好。 所以我们可以反其道而行之,计算...
李宏毅机器学习 笔记12(Attack ML Models
Mr_Kingk的博客
08-09 240
Attack: 通过在原来的特征值上加上一些杂讯,让network做出错误的判断。 定义attack的lossfunction: 找到一个与x0很接近的一个x',在x和theta固定的情况下,使输出的答案越错误。 两类constraint: 加了gradient算出的杂讯效果最明显: FGSM: 采用最快的梯度,一次梯度下降得到结果: 主要就是设置一个很大的learningrate使一次达到目的: 黑箱攻击: 通过trainin...
李宏毅老师课程:Attack ML Models
APythonC的博客
08-21 311
攻击机器学习模型MotivationWhat do we want to do?Loss Function for AttackConstraintHow to AttackExampleAttack ApproachesWhite Box v.s. Black BoxBlack Box AttackAttack in the Real WorldDefense Motivation What do we want to do? attack要做的事就是把找到原图片x0x^0x0对应的x′x'x′ Lo
机器学习-26-Attack ML Model and Defense(模型攻防)
迷雾总会解
12-20 1165
神经网络不仅是要用在研究上,最后更多的肯定要在各种有意义的应用中。因此model仅仅是对杂讯(噪声)robust和大部分时间work是不够的,还要去对抗恶意攻击(注意,这里不是说仅仅是对抗杂讯,而是所谓的,不暴露出弱点)。即使是垃圾邮件识别,人脸识别这种最基础广泛的领域,也存在着大量的攻击对抗。因此,对这方面的研究是十分重要的。
2020李宏毅机器学习笔记-Attack ML Models
zn961018的博客
05-30 590
概述 本节课将讲Attack与Defense,其中攻击占了大部分,最后是有关防御Defense的部分。可分为被动防御Passive defense与主动防御Proactive defense。
WDKDocs_12112009.rar_WDK_WDKDocs_WDK驱动_wdk文档_驱动
07-15
这是开发驱动程序的WDK帮助文档,非常有用
WDM_PCI_Driver.zip_PCI驱动WDM_WDK_WDM PCIe开发_pci wdk_pci驱动开发
07-13
通过学习和实践这个驱动开发项目,开发者可以深入理解PCI设备的工作原理,掌握WDM驱动模型的精髓,并具备为其他PCI/PCIe设备开发驱动的能力。这将对提升系统级编程技能,尤其是对于那些希望在Windows平台下从事底层...
System DMA.zip_System DMA_above4gx_new37y_wdk dma引擎
09-24
8. **错误处理和调试**:学习如何处理DMA过程中可能出现的错误,以及如何利用WDK提供的工具进行驱动调试。 9. **驱动程序模型**:WDK中的示例会遵循Windows驱动程序模型(WDM),这包括IRP(I/O请求包)的处理,...
storagesamples_cab001_flagnac_WDK_
09-30
通过对"storagesamples_cab001_flagnac_WDK_"中的代码进行学习和实践,开发者可以掌握驱动程序设计的关键技术和技巧,从而更有效地开发和维护自己的存储设备驱动程序。同时,这也有助于理解底层硬件的工作原理,为...
FakeGPS-master_windows_C++_Driver_WDK_
10-04
标题 "FakeGPS-master_windows_C++_Driver_WDK_" 指的是一个针对Windows 10系统,使用C++编程语言开发的模拟GPS驱动程序项目。这个项目可能包含了一个完整的源代码库,帮助开发者在没有真实GPS设备的情况下,为应用...
MLModels:许多常见ML模型的自制实现,包括神经网络,逻辑线性回归
02-14
ML模型 许多常见ML模型的自制实现,包括神经网络,线性模型和决策树。 强调 MNIST基准 导入/获取数据 import numpy as np np . random . seed ( 0 ) import matplotlib . pyplot as plt % matplotlib inline from functools import reduce import neuralNet as nn import utils as u from torchvision import datasets # Only to get MNIST data train_dataset = datasets . MNIST ( './data' , train = True , download = True ) test_dataset = datasets . MNIST ( './da
2021李宏毅机器学习笔记--12 attack ML models
guoxinxin0605的博客
06-26 307
2021李宏毅机器学习笔记--12 attack ML models摘要一、图像模型的攻击1.1原理1.2Constraint1.3参数训练1.4一个例子1.5攻击方法1.5.1FGSM(Fast Gradient Sign Method)1.6黑盒攻击1.7拓展研究1.7.1普遍对抗攻击(Universal Adversarial Attack)1.7.2对抗性重新编程(Adversarial Reprogramming)1.8真实世界的攻击二、声音模型的攻击三、defense3.1被动防御3.1.1fe
深度学习(9): Attack ML models & Adversarial attack
JJJJJJames的博客
01-18 567
Attack and Defense 需要classifiers 不只要对噪声的抗干扰性强,还要对那些为了骗过classifier而建立的输入也有很强的抗性。 especially useful for spam classification, malware(恶意软件) detection, network intrusion(网络入侵) detection, etc 1、Attack 1.1 what do we want to do? 在图片的样本点上加入一些杂讯△x\triangle x△x,原
李宏毅机器学习课程梳理【十五】:Attack Machine Learning Models
-Belladonna的博客
08-29 218
Attack Loss Function for Attack 依旧使用Loss function:Ltrain(θ)=C(y0,ytrue)L_{train}(\theta)=C(y^0,y^{true})Ltrain​(θ)=C(y0,ytrue)训练网络。训练时输入固定不变,不断调整参数,直至训练出一个准确率高的模型。 Non-targeted Attack: 此种攻击寻找一个输入图片x′x'x′,得到上述训练好的神经网络的输出y′y'y′,使y′y'y′与ytruey^{true}ytrue的交叉
Adversarial reprogramming
????????️的博客
05-22 978
一、简介 1、什么是对抗样本? 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2、对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗性攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗性攻击主
台湾大学李宏毅机器学习课程
06-04
李宏毅((Hung-yi Lee)目前任台湾大学电机工程学系和电机资讯学院的助理教授,他曾于2012年获得台湾大学博士学位,并于2013年赴麻省理工学院(MIT)计算机科学和人工智能实验室做访问学者。他的研究方向主要是语义理解、语音识别、机器学习深度学习)老师的机器学习课程以机器学习深度学习的基础知识为主,包含了AI领域的各种最新知识和技术点。课程深入简出,通俗易懂,颇受欢迎,非常适合对AI感兴趣的学习者。本课程已经获得李宏毅老师授权。
端到端的深度学习
Steve Wang's blog
12-13 7411
整理并翻译来自吴恩达深度学习系列视频:结构化机器学习项目2.90和2.10. One of the most exciting recent development in deep learning, has been the rise of end-to-end deep learning. Briefly, there have been some data processing sys...
AI新方向:对抗攻击
网易智能
11-14 2875
关注网易智能,聚焦AI大事件,读懂下一个大时代!本文转载自学术头条(ID:SciTouTiao),作者:汶川在调查近几年 AI 领域的过程中,我发现近几年对抗攻击的概念逐...
【全文翻译】Membership Inference Attacks Against Machine Learning Models
weixin_43682519的博客
12-03 5433
摘要—我们定量研究了机器学习模型如何泄漏有关对其进行训练的单个数据记录的信息。 我们专注于基本的成员推理攻击:给定数据记录和对模型的黑匣子访问,确定记录是否在模型的训练数据集中。 为了针对目标模型执行成员推理,我们在对抗中使用了机器学习,并训练了自己的推理模型,以识别目标模型在训练后的输入与未训练在输入上的预测之间的差异。 我们对由商业“机器学习即服务”提供商(例如Google和Amazon)训练的分类模型进行经验评估,以评估我们的推理技术。 使用现实的数据集和分类任务,包括其出入会受到隐私角度影响的医院
wdk __try __finally
最新发布
05-13
`__try`和`__finally`是Microsoft Visual C++编译器提供的一种异常处理机制。它类似于C++中的`try-catch`语句,但更为灵活。 `__try`用于标记一段代码块,这段代码块将被监视是否发生异常。如果在`__try`中发生了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值