【论文快读】DeepFool(2016)

最新推荐文章于 2022-06-07 14:58:49 发布
最新推荐文章于 2022-06-07 14:58:49 发布
阅读量2.2k 收藏 7
点赞数 1
分类专栏: CV 论文阅读 文章标签: DeepFool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tfcy694/article/details/80580852
版权

标题:DeepFool: a simple and accurate method to fool deep neural networks
作者:Seyed-Mohsen Moosavi-Dezfooli等
链接:https://arxiv.org/abs/1511.04599
摘要:
这里写图片描述
本文内容:
对于robustness的量化与计算;
DeepFool算法。

形式化

图像 x ∈ \textbf{x}\in x图像空间 R n \mathbb{R}^n Rn
分类器 k ^ ( x ) \hat{k}(\textbf{x}) k^(x)在点 x x x处的鲁棒性 Δ ( x ; k ^ ) \Delta(\textbf{x};\hat{k}) Δ(x;k^):(几何意义是 x \textbf{x} x到分类边界的距离)
Δ ( x ; k ^ ) : = min ⁡ r ∣ ∣ r ∣ ∣ 2    s . t . k ^ ( x + r ) ≠ k ^ ( x ) \Delta(\textbf{x};\hat{k}):=\min_{\textbf{r}}\left||\textbf{r}|\right|_2 \ \ s.t.\hat{k}(\textbf{x}+\textbf{r})\neq\hat{k}(\textbf{x}) Δ(x;k^):=rminr2  s.t.k^(x+r)̸=k^(x)
其中 r \textbf{r} r是能够fool分类器的最小扰动。
分类器 k ^ ( x ) \hat{k}(\textbf{x}) k^(x)的鲁棒性: ρ a d v ( k ^ ) = E x Δ ( x ; k ^ ) ∣ ∣ x ∣ ∣ 2 \rho_{adv}(\hat{k})=\mathbb{E}_{\textbf{x}}\dfrac{\Delta(\textbf{x};\hat{k})}{||\textbf{x}||_2} ρadv(k^)=Exx2Δ(x;k^)
(点面距离越远,计算输入的样本度量越小,模型越健壮)

二分类问题

k ^ ( x ) = s i g n ( w T x + b ) : = s i g n ( f ( x ) ) \hat{k}(\textbf{x})=sign(\textbf{w}^T\textbf{x}+b):=sign(f(\textbf{x})) k^(x)=sign(wTx+b):=sign(f(x))
分类边界 F = { x : f ( x ) = 0 } \mathscr{F}=\{\textbf{x}:f(\textbf{x})=0\} F={x:f(x)=0}
扰动向量计为数据点到分类边界(直线)的距离向量,可以先算点到直线距离,然后求直线的单位法向量,相乘即 r ⋆ ( x 0 ) : = arg ⁡ min ⁡ r ∣ ∣ r ∣ ∣ 2 s . t .   s i g n ( f ( x 0 + r ) ) ≠ s i g n ( f ( x 0 ) ) \textbf{r}_{\star}(\textbf{x}_0):=\arg\min\limits_{\textbf{r}}||\textbf{r}||_2s.t.\ sign(f(\textbf{x}_0+\textbf{r}))\neq sign(f(\textbf{x}_0)) r(x0):=argrminr2s.t. sign(f(x0+r))̸=sign(f(x0))
= − f ( x 0 ) ∣ ∣ w ∣ ∣ 2 2 w =-\dfrac{f(\textbf{x}_0)}{||\textbf{w}||_2^2}\textbf{w} =w22f(x0)w
迭代算法如下:
这里写图片描述

多分类问题

label数: c c c
记分类函数 f ( x ) = W T x + b f(\textbf{x})=\textbf{W}^T\textbf{x}+\textbf{b} f(x)=WTx+b
分类器 k ^ ( x ) = arg ⁡ max ⁡ k f k ( x ) \hat{k}(\textbf{x})=\arg\max\limits_{k}{f_k(\textbf{x})} k^(x)=argkmaxfk(x) f k ( x ) 是 向 量 f ( x ) f_k(\textbf{x})是向量f(\textbf{x}) fk(x)f(x)的第 k k k个维度。
扰动向量: arg ⁡ min ⁡ r ∣ ∣ r ∣ ∣ 2 \arg\min\limits_{\textbf{r}}||\textbf{r}||_2 argrminr2
s . t . ∃ k : w k T ( x 0 + r ) + b k ≥ w k ^ ( x 0 ) T ( x 0 + r ) + b k ^ ( x 0 ) s.t. \exists k: \textbf{w}^T_k(\textbf{x}_0+\textbf{r})+\textbf{b}_k\geq \textbf{w}^T_{\hat{k}(\textbf{x}_0)}(\textbf{x}_0+\textbf{r})+\textbf{b}_{\hat{k}(\textbf{x}_0)} s.t.k:wkT(x0+r)+bkwk^(x0)T(x0+r)+bk^(x0)
其中 w k \textbf{w}_k wk W \textbf{W} W的第 k k k列。、
几何意义为寻找 x 0 \textbf{x}_0 x0与所在的凸区域 P = ⋂ k = 1 c { x : f k ^ ( x 0 ) ( x ) ≥ f k ( x ) } P=\bigcap\limits_{k=1}^{c}\{\textbf{x}:f_{\hat{k}(\textbf{x}_0)}(\textbf{x})\geq f_{k}(\textbf{x})\} P=k=1c{x:fk^(x0)(x)fk(x)}边界的最小距离,即:
l ^ ( x 0 ) = arg ⁡ min ⁡ k ≠ k ^ ( x 0 ) ∣ f k ( x 0 ) − f k ^ ( x 0 ) ( x 0 ) ∣ ∣ ∣ w k − w k ^ ( x 0 ) ∣ ∣ 2 \hat{l}(\textbf{x}_0)=\arg\min\limits_{k\neq \hat{k}(\textbf{x}_0)}\dfrac{|f_k(\textbf{x}_0)-f_{\hat{k}(\textbf{x}_0)}(\textbf{x}_0)|}{||\textbf{w}_{k}-\textbf{w}_{\hat{k}(\textbf{x}_0)}||_2} l^(x0)=argk̸=k^(x0)minwkwk^(x0)2fk(x0)fk^(x0)(x0)
所以最小扰动 r ⋆ ( x 0 ) = ∣ f l ^ ( x 0 ) ( x 0 ) − f k ^ ( x 0 ) ( x 0 ) ∣ ∣ ∣ w l ^ ( x 0 ) − w k ^ ( x 0 ) ∣ ∣ 2 2 ( w l ^ ( x 0 ) − w k ^ ( x 0 ) ) \textbf{r}_{\star}(\textbf{x}_0)=\dfrac{|f_{\hat{l}(\textbf{x}_0)}(\textbf{x}_0)-f_{\hat{k}(\textbf{x}_0)}(\textbf{x}_0)|}{||\textbf{w}_{\hat{l}(\textbf{x}_0)}-\textbf{w}_{\hat{k}(\textbf{x}_0)}||_2^2}(\textbf{w}_{\hat{l}(\textbf{x}_0)}-\textbf{w}_{\hat{k}(\textbf{x}_0)}) r(x0)=wl^(x0)wk^(x0)22fl^(x0)(x0)fk^(x0)(x0)(wl^(x0)wk^(x0))
当边界非线性时,把上述 w \textbf{w} w替换成 ∇ f ( ( x ) ) \nabla f(\textbf(x)) f((x))即可(如下算法2)
这里写图片描述
值得注意的是本算法的输出不是optimal的,但实验中已经能够大概率实现小幅度扰动了。

玄云飘风
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DeepFool算法.rar
08-19
本算法是经典的对抗样本算法,参考论文为《DeepFool: a simple and accurate method to fool deep neural networks》,基于pytorch框架实现,已调试完毕,可直接运行。
对抗样本生成算法之DeepFool算法
ilalaaa的博客
05-17 3167
目录背景原理 论文链接点击获取. 背景 原理
DeepFool对抗算法
08-28
DeepFool对抗算法实现代码,需先下载cleverhans集成库,或是我资源中的FGSM算法也可以。
[论文阅读笔记]DeepFool: a simple and accurate method to fool deep neural networks
Invokar的博客
07-21 4891
DeepFool: a simple and accurate method to fool deep neural networks(2016 CVPR) 文章简介: 本文为Adversary Attack方向的一篇经典论文。算法名为DeepFool,其目标是寻求最小的扰动来达到生成对抗样本的目标。下图第2行为DeepFool算法生成的扰动,第3行为FGSM算法生成的扰动。可以看到当生成的tar...
DeepFool对抗算法_学习笔记
热门推荐
Erpim的博客
07-19 1万+
前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,方便之后回顾。过程中可能引用其他大牛的博客,文末会给出相应链接,侵删! DeepFool算法 特点:白盒攻击、 论文原文:DeepFool: a simple and accurate method to fool deep neural networks 正文...
FastIO.h——C++快读快写模板库
11-30
C++快读快写模板库(暂不支持实数、复数类型),适用于对输入输出速度要求高的场景。
快读免费小说ios1.0.5版本
10-29
可以看正版源,无广告,轻松阅读,正版功能基本都有的!
C++ 快读+namespace包含主程序模板
08-06
namespace 中的主程序,变量函数名字随意,更方便 快读模板:!→_→ 珍爱生命,远离TLE
bbb的快读模板
01-21
ios对cin的加速欺骗了我,md数据量稍微大一点就TLE了,不太靠谱,搞一波bbb群主的快读板子,用于对付卡常用,虽然一般感觉用不到叭,sacnf够用了,但搞上一波没啥坏处 using namespace std; typedef long long ll; #...
DeepFool: a simple and accurate method to fool deep neural networks.pdf
03-25
DeepFool: a simple and accurate method to fool deep neural networks.pdf
论文那些事—DeepFool: a simple and accurate method to fool deep neural networks
shuweishuwei的博客
10-08 717
Elastic-Net Attacks to Deep Neural Networks via Adversarial Examples(通过对抗样本对深层神经网络的弹性网络攻击) 1、摘要及背景
如何理解DeepFool算法
DanyHgc的博客
01-03 4392
首先:DeepFool是白盒攻击算法 概述 生成对抗样本的基本思路,大体可以分为白盒攻击和黑盒攻击,区别在于黑盒测试把模型当做黑盒,只能输入样本获得预测结果,白盒在黑盒的基础上还可以获取模型的参数、梯度等信息。本文将介绍白盒攻击中最有名的DeepFool算法。 DeepFool基本原理 我们做攻击,一个很好的问题就是,我们究竟对原始图像做了多大修改就可以欺骗AI模型呢?换个说法就是,如何尽量少的修...
DeepFool笔记:对原理的理解(二分类)
Niatruc的博客
04-12 601
在求对线性二分类器的最小扰动中,原文图如下。这里是二维平面,所以看图理解的时候应把样本看成有两个特征(分别沿横纵轴取值);决策超平面是一条直线。最小扰动向量的大小是从样本到决策超平面的距离,方向与超平面的法向量相反) 点到直线距离公式:Ax1+Bx2+CA2+B2\frac{Ax_1+Bx_2+C}{\sqrt{A^2+B^2}}A2+B2​Ax1​+Bx2​+C​即wx+b∥w∥2\frac{wx+b}{\Vert{w}\Vert_2}∥w∥2​wx+b​即f(x)∥w∥2\frac{f(x)}{\Ve
《Comprehensive Privacy Analysis of Deep Learning》补完以及Deepfool对抗样本构造算法
VnK_的博客
05-06 1946
本周阅读了推理攻击领域关于深度学习的隐私性的全面分析《Comprehensive Privacy Analysis of Deep Learning》,以及介绍Deepfool对抗样本构造算法的《DeepFool: a simple and accurate method to fool deep neural networks》。 1. 《Comprehensive Privacy An...
经典对抗攻击Deepfool原理详解与代码解读
Paper weekly
08-17 1万+
©PaperWeekly 原创 · 作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:DeepFool: a simple and accurate...
对抗样本(五)DeepFool
白丁的博客
03-19 2569
文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文主要内容1、Introduction2、DeepFool For Binary Classifiers3、DeepFool For Multiclass classifiers3.1 Affine Multiclass Classifier(线性的多分类分类器)3.2 General Classfie...
论文阅读 (54):DeepFool: A Simple and Accurate Method to Fool Deep Neural Networks
因吉的博客
06-07 569
深度神经网络在图像分类任务上的成就毋庸置疑。然而,这些架构已被证明对图像的小扰动缺乏健壮性,目前也缺乏有效的方法来准确计算深度分类器应对大规模数据集上扰动的鲁棒性。本文则对这些鲁棒性进行可靠量化。.........
deepfool简单实现
heartipp的博客
10-24 1064
```python import numpy as np import torch # pytorch机器学习开源框架 import torch.nn as nn from torch.autograd import Variable import torch.nn.functional as F import torchvision import torch.optim as optim from torchvision import transforms from tqdm import * im.
快读namespace
最新发布
09-01
Namespace(命名空间)是一种在编程中用来区分各种不同命名元素的机制。它可以将不同的程序元素(变量、函数、类等)进行分组,使得它们在同一个命名空间下能够互相区分。在不同的命名空间中,可以定义具有相同名称的元素,而不会产生冲突。 快读namespace可以理解为快速了解命名空间的意思。在当前广泛使用的编程语言中,命名空间是一种非常常见的概念,如C++中的命名空间、Python中的模块和包、Java中的包等。通过快速了解命名空间,我们可以更好地进行模块化的开发,避免命名冲突,提升代码的可读性、可维护性和可重用性。 了解命名空间的重要性在于,它可以分隔不同模块之间的代码,使得每个模块可以独立开发和测试。在大型项目中,各个模块的开发往往由不同的开发人员负责,通过使用命名空间,可以避免不同模块中的命名冲突,同时也方便了代码的组织和管理。 在编程中,通过使用命名空间,我们可以更好地控制程序的作用域,避免全局变量的滥用。命名空间可以使得变量和函数的作用范围被限制在一个特定的范围内,有利于代码的结构化和模块化。 总而言之,快读命名空间是指通过了解命名空间的概念和使用方法,可以更好地进行模块化开发,提升代码的可读性和可维护性。同时,对于从事软件开发的人来说,掌握命名空间的概念也是非常重要的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值