对抗攻击
地表最菜研究生
深度学习,图像处理,欢迎交流学习
展开
-
对抗攻击笔记03:l0,l2,l∞范数
攻击成功率只能从一定程度表明对抗样本的质量,工程和科研中还需要使用更多的指标来量化对抗样本的质量,其中最常用的是扰动的l0和l2范数l0范数l0范数是指向量中非0的元素的个数,因此扰动的lo范数指的是扰动的非0的元素的个数。以图像数据为例,针对图像数据的扰动的l0范数指的就是修改的像素数据个数。扰动量可以表示为:#计算改变量deta=img[0]-img_adv[0]扰动的l0范数大小为:#计算绝对量_l0=len(np.where(np.abs(deta)>0.0)[0])l2原创 2021-05-25 14:24:09 · 5372 阅读 · 1 评论 -
对抗攻击笔记02:李宏毅对抗攻击视频课P3P4-how to attack
how to attack目标:找到一个x*使得与原x0的差距越小越好,同时还要让f(x)与原结果远离的越远越好方法:通过梯度下降方法,以x0为初始值不断迭代x生成新的x‘ ,同时如果x‘的变动大于我们设置的阈值的时候对x‘进行修正修正函数:fix(x‘)在规定区域中寻找与x’最接近的那个点作为修正后的x‘Attack ApproachesFGSM:原论文不迭代,一次攻击成功每个像素点在各个方向上取反,(一拳超人),最后获得的结果就是原图像的攻击结果,使用范数降改动后的x1拉回范数范围。原创 2021-05-25 11:06:16 · 191 阅读 · 0 评论 -
对抗攻击笔记01:李宏毅对抗攻击视频课p2
正常training是要使得f(x)的值与真实值y—true越接近越好Non-targeted Attack是要使得f(x)的值与y—true越远越好Targeted Attack目标是要让f(x)与某一错误分类y—false越近越好在添加攻击噪声的同时要使得图像与原图越接近越好(肉眼不被发现)定义两张图片之间的差异使用l0范数,l2范数和l∞范数 来表示图像扰动的大小L0范数:表示非0元素的个数,对抗样本中表示扰动的非0元素的个数L2范数:表示各元素的平方和再开方,对抗样本中表示扰动..原创 2021-05-19 22:38:03 · 353 阅读 · 3 评论