[论文] Feature Squeezing:Detecting Adversarial Examples in Deep Neural Networks

最新推荐文章于 2024-05-07 09:15:11 发布
最新推荐文章于 2024-05-07 09:15:11 发布
阅读量1.6k 收藏
点赞数 2
分类专栏: AI安全 文章标签: 深度学习 机器学习 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tizzyt95/article/details/127526033
版权

思路:对抗样本经过feature squeeze处理后大部分增加的干扰会被消除或者减小,致使feature squeeze前后的分类结果向量(distributed vector)L1距离很大,这与正常样本经过feature squeeze后结果相反,基于这样的规律进行对抗样本的过滤。

使用的攻击手段:

1. L0攻击: CW0,JSMA

2. L2攻击:CW2

3. L正无穷:FGSM、BIM、CW正无穷

squeezer选择:

1. Bit-Depth :Numpy实现。MNIST数据库1-Bit位深,CIFAR-10&ImageNet数据集4-Bit位深

2. 局部平滑处理:Scipy实现。使用2*2滑窗,padding选用reflect

3. 非局部平滑处理:OpenCV实现。先转化为CIELAB色彩域然后分别在L、AB项上去噪,最后转化为RGB域

4. 其他可使用的方法:JPEG图像压缩[Adversarial Examples in the Physical World.];数据降维[eigenfaces]

实验结果:平滑处理对于L0攻击算法更有效,Bit-Depth对于L2和L正无穷攻击算法更有效

实验对比MagNet[a Two-Pronged Defense against Adversarial Examples]

未来工作:

1. 更好的融合不同的检测子,而不是使用max方法

2. 对FGSM和BIM效果不好是因为产生的噪声较大,而featuresqueezing对小噪声效果较好

3. 不同的检测子对于false positive 5%目标的阈值不同,目前设置同一个阈值,后期设置不用阈值

tizzyt95
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
深度学习的黑魔法防御术:恶意样本(Adversarial Example) 的防御策略综述
白马负金羁
12-30 6038
随着深度学习研究的深入,相关应用已经在许多领域展现出惊人的表现。一方面,深度神经网络(DNN)的强大能力着实吸引着学术界和产业界的眼球。另外一方面,深度学习的安全问题也开始引起广泛地关注。对于一个给定的深度神经网络,经过训练,它可能在具体任务上的表现出甚至超过人类。但是在原本能够被正确分类的图像中引入稍许(人眼不易察觉的)扰动,神经网络就可能被误导,从而导致错误的结果。经过精心调整的能够误导神经网络的输入就被称为是恶意样本(Adversarial Example)
Unite Europe 2017 - Squeezing Unity: Tips for raising performance
07-11
Unite Europe 2017 - Squeezing Unity: Tips for raising performance 就是关于如何提升性能的 YouTube 对应的 https://www.youtube.com/watch?v=_wxitgdx-UI&index=7&list=PLX2vGYjWbI0Rzo8D-vUCFVb_hHGxXWd9j
特征压缩:检测DNN中的对抗样本
ilalaaa的博客
07-10 1951
目录原理原理 论文 2018NDSS-Feature Squeezing Detecting Adversarial Examples in Deep Neural Networks. 原理 原理
通过数值过滤增强图像分类API对对抗样本的抵抗能力
铬天青S的药丸试验室
04-15 584
背景 之前已经有较多的论文描述如何使用各种各样的方式(例如Fast Gradient Sign Method,DeepFool,CW Attack和One Pixel Attack等)对图片识别的模型进行攻击,同时业界也已经有了大量的论文介绍如何增强模型的稳健性(例如训练时增加对抗样本,distill learning,mix label等)。但是这些对抗攻击的方法要么需要对模型重新进行训练,要么...
论文阅读—An Analysis of Adversarial Attacks and Defenses on Autonomous Driving Models
yayayamaomaoya的博客
05-25 353
论文阅读—An Analysis of Adversarial Attacks and Defenses on Autonomous Driving Models 访问地址:https://arxiv.org/abs/2002.02175 时间:2020 这篇文章通过在自动驾驶领域复现了五种对抗性攻击方法(IT-FGSM[16]、FGSM [7]、an optimization-based approach [36]、 AdvGAN [6]和AdvGAN Universal Adversarial Pert
论文研究-基于级联多分类神经网络的对抗样本检测方法 .pdf
08-17
基于级联多分类神经网络的对抗样本检测方法,雷盛川,伍淳华,近年来,深度神经网络在机器视觉、语音识别、自然语言处理等领域取得了巨大的成功,但是,最近学者发现了针对深度神经网络的对抗
[paper]Feature Squeezing: Detecting Adversarial Examples in Deep Neural Networks
weixin_43150428的博客
05-17 2167
本文提出了两种特征压缩方法: 减少每个像素的颜色位深度 使用空间平滑来减少各个像素之间的差异 特征压缩通过将与原始空间中许多不同特征向量相对应的样本合并为单个样本,从而减少了对手可用的搜索空间。通过将DNN模型对原始输入的预测与对压缩输入的预测进行比较,特征压缩可以很好的检测出对抗样本。本方法对于计算资源要求不高,可以与其他防御措施互补,并且可以结合联合检测框架使用。 Our approach, which we call feature squeezing, is driven by the obs
Feature Squeezing
weixin_42746557的博客
08-05 3165
对于《Feature Squeezing: Detecting Adversarial Examples in Deep Neural Networks》的理解 很多先前的防止adversarial example的方法都是,**adversarial training and gradient masking**,都会修改原来的网络,本文讲述的是利用对input压缩简化的方式,去进行对于输入样...
Feature Squeezing: Detecting Adversarial Examples in Deep Neural Networks笔记
Billy1900的博客
09-03 1061
Code: https://github.com/mzweilin/EvadeML-Zoo Feature squeezing: reducing the color bit depth of each pixel and spatial smoothing. Framework: Adversarial examples attacks LpnormL_p normLp​norm attack FGSM BIM DeepFool JSMA Carlini/Wagner attacks D
[深度学习论文笔记][Adversarial Examples] Deep Neural Networks are Easily Fooled: High Confidence Predictions
Hao_Zhang_Vision的博客
11-03 1456
Nguyen, Anh, Jason Yosinski, and Jeff Clune. “Deep neural networks are easily fooled: High confidence predictions for unrecognizable images.” 2015 IEEE Conference on Com- puter Vision and Pattern Rec
Exact relation of spin squeezing and phase coherence in a two-mode Bose-Einstein condensates
02-20
双模玻色-爱因斯坦凝聚体中自旋压缩与相位相干,张渊明,李雪,研究弱耦合双模玻色子系统的自旋压缩。发现了自旋压缩系数和单体相干函数的严格关系式,它为测量自旋压缩程度提供了一个间接方法�
Soliton squeezing generated in an all-fiber configuration
02-10
We experimentally demonstrate amplitude squeezed soliton utilizing intensity-dependent self-phase modulation in an asymmetric ... Optimal squeezing fields in both simple and compact all-fiber configurat
Squeezing-enhanced fiber Mach-Zehnder interferometer for low-frequency phase measurement
02-08
Squeezing-enhanced fiber Mach-Zehnder interferometer for low-frequency phase measurement
Cooling and squeezing the fluctuations of a nanomechanical beam by indirect quantum feedback control (14 pages)
02-20
We study cooling and squeezing the fluctuations of a nanomechanical beam using quantum feedback<BR>control. In our model, the nanomechanical beam is coupled to a transmission line resonator via<BR>a ...
深度学习后门攻防综述
热门推荐
Yale的博客
05-25 1万+
0x00 后门这个词我们在传统软件安全中见得很多了,在Wikipedia上的定义[1]为绕过软件的安全性控制,从比较隐秘的通道获取对程序或系统访问权的黑客方法。在软件开发时,设置后门可以方便修改和测试程序中的缺陷。但如果后门被其他人知道(可以是泄密或者被探测到后门),或是在发布软件之前没有去除后门,那么它就对计算机系统安全造成了威胁。 那么相应地,在深度学习系统中也存在后门这一说法,这一领域由Gu等人2017年发表的BadNets[2]和Liu等人2017年发表的TrojanNN[3]开辟,目前是深度学习安
机器学习-26-Attack ML Model and Defense(模型攻防)
迷雾总会解
12-20 1072
神经网络不仅是要用在研究上,最后更多的肯定要在各种有意义的应用中。因此model仅仅是对杂讯(噪声)robust和大部分时间work是不够的,还要去对抗恶意攻击(注意,这里不是说仅仅是对抗杂讯,而是所谓的,不暴露出弱点)。即使是垃圾邮件识别,人脸识别这种最基础广泛的领域,也存在着大量的攻击对抗。因此,对这方面的研究是十分重要的。
学习笔记——对抗攻击模型
Clichong
07-15 2700
以下内容来源与李宏毅老师的课程。 文章目录一、攻击1.对抗攻击基本概念2.对抗攻击类型1)白盒攻击2)黑盒攻击3.对抗攻击例子**1)Universal Adversarial Attack(通用对抗性攻击)****2)Adversarial Reprogramming(对抗性重编程)****3)Attack in the Real World**二、防御1.Passive defense1)Feature Squeeze2)Randomization at Inference Phase2.Proacti
现代循环神经网络(GRU、LSTM)(Pytorch 14)
March_A的博客
05-04 1398
现在我们将定义隐状态的初始化函数init_gru_state。定义的nit_rnn_state函数,此函数 返回一个形状为(批量大小,隐藏单元个数)的张量,张量的值全部为零。现在我们准备定义门控循环单元模型,模型的架构与基本的循环神经网络单元是相同的,只是权重更新公式 更为复杂。
如何开发自己的深度学习优化算法
最新发布
qlkaicx的博客
05-07 574
步骤 1: 定义问题和目标明确你的优化算法需要解决的具体问题。是需要解决训练速度慢的问题,还是提高模型在特定类型数据上的表现?明确目标是开发过程中的第一步。步骤 2: 研究现有算法详细研究现有的优化算法,理解它们的优点和局限性。分析这些算法在特定场景下表现不佳的原因,这将帮助你找到改进的方向。步骤 3: 开发初步想法基于对现有算法的分析,开发出改进的策略或完全新的方法。这可能涉及到引入新的数学模型、调整参数更新规则或者使用不同的梯度估计方法。步骤 4: 创建原型使用Python等编程语言实现你的算法原型。
Towards Deep Learning Models Resistant to Adversarial Attacks
04-03
3. Feature squeezing: This involves converting the input data to a lower dimensionality, making it more difficult for an adversary to generate adversarial examples. 4. Gradient masking: This involves...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值