ENHANCING TRANSFORMATION-BASED DEFENSES AGAINST ADVERSARIAL ATTACKS WITH A DISTRIBUTION CLASSIFIER

最新推荐文章于 2022-03-14 16:56:34 发布
最新推荐文章于 2022-03-14 16:56:34 发布
阅读量356 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013775900/article/details/107563592
版权

ENHANCING TRANSFORMATION-BASED DEFENSES AGAINST ADVERSARIAL ATTACKS WITH A DISTRIBUTION CLASSIFIER (ICLR 2020)

摘要

we propose a method to improve existing transformation-based defenses.

1 介绍

基于随机变换的防御方法在对抗攻击的防御中取得了相当大的成功。

在这种防御中,输入图像在喂给CNN网络之前以某种方式进行变换,这样变换后的对抗样本将不再具有对抗性。因为变换是随机的,我们累积了一些列的CNN softmax 输出和预测。这样,基于变换的防御从随机变换的图像的中选择占大多数投票CNN的预测。

基于转换的防御是可取的,因为不需要重新训练CNN模型。但是,它们在干净图像上的性能会下降。

在干净图像性能下降的确切机制尚不清楚。我们认为,由随机变换产生的softmax分布包含了丰富的信息,而这些信息没有由简单计算变换样本的最终类预测的多数投票获得。

现在,一个有趣的问题是softmax分布中的特性是否可以得到更好的利用。

在图像变换后,一些干净图像显示了softmax的分布在不正确的类别,反映了之前观察到的投票精度下降。

虽然将分布移到不正确的类上不利于投票预测,但产生的softmax分布包含有用于校正预测的特征。

此外,我们观察到对抗的对方在softmax分布上的变化与干净图像相似。我们还研究了转换后的干净图像和对抗图像的分布形状,发现它们是相似的。

有了这些发现之后,我们提出了一个简单的方法来改善现在的基于变换的防御,我们训练了一个分离的轻权重的分布分类器来识别转换后的干净图像的softmax输出分布的显著特征,并预测类别标签。没有重新训练原始的CNN模型,我们的分布分类器提高了基于变换的防御在干净和对抗图像上的表现。

我们的防御方法是攻击无关的。我们的贡献如下:

1.我们分析了现有防御系统中图像变换对干净图像和对抗图像的softmax输出的影响,发现从干净图像和对抗图像中获得的softmax分布具有相似的特征。

2.我们提出了一种只根据变换后的干净图像的softmax输出分布训练分布分类器的方法,但是在干净图像和对抗图像中都显示了改进。该方法对攻击方法不可知,不需要对CNN进行再训练,可以与现有的基于变换的方法集成。

Letitia_xx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Efficient Defenses Against Adversarial Attacks
10-04
Deep learning has proven its prowess across a wide range of computer vision applications, from visual recognition to image generation [17]. Their rapid deployment in critical systems, like medical imaging, surveillance systems or security-sensitive applications, mandates that reliability and security are established a priori for deep learning models. Similarly to any computer-based system, deep learning models can potentially be attacked using all the standard methods (such as denial of service or spoofing attacks), and their protection only depends on the security measures deployed around the system. Additionally, DNNs have been shown to be sensitive to a threat specific to prediction models: adversarial examples. These are input samples which have deliberately been modified to produce a desired response by a model (often, misclassification or a specific incorrect prediction which would benefit the attacker)
[论文笔记]Decoupling Direction and Norm for Efficient Gradient-Based L2 Adversarial Attacks and Defenses
Invokar的博客
08-06 1886
Decoupling Direction and Norm for Efficient Gradient-Based L2 Adversarial Attacks and Defenses(2019 CVPR Oral) 文章简介: 本文提出了一种有效的基于梯度的攻击方法DDN,通过对图像中添加的对抗性扰动的方向和范数进行解耦,从而在L2范数较低的情况下成功攻击目标网络。在2018 NIPS Ad...
论文笔记(四)《Admix: Enhancing the Transferability of Adversarial Attacks
qq_39667860的博客
03-14 570
《混合:增强对抗性攻击的可转移性》 一、abstract we propose a new input transformation based attack method called Admix that considers the input image and a set of images randomly sampled from other categories. Instead of directly calculating the gradient on the original inpu
Enhancing the Transferability of Adversarial Attacks through Variance Runing
qq_32925101的博客
08-14 960
Enhancing the Transferability of Adversarial Attacks through Variance Runing CVPR2021 大类属于使用新的数据增广技术提高对抗样本的攻击迁移性,属于黑盒攻击。 Abstract:白盒攻击效果已经很好了,但是黑盒(迁移)攻击效果仍不能达到满意的效果。本文引入一种新的方法——Variance Tuning,来提高基于梯度迭代攻击方法类的攻击效果,并提高其攻击迁移性。具体地,在使用梯度更新参数的时候,并不是使用当前梯度来进行动量累积
论文那些事—Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser
shuweishuwei的博客
10-19 1479
1、摘要\背景 想到对抗样本的防御,一个很自然饿想法是能不能将添加的扰动去掉,但目前为止没有任何一个算法或者模型能完全将扰动去掉复原原始图像,最常用的方法是去噪,去掉对抗样本扰动所带来的的影响,即对抗样本失效,机器能够识别为原来的标签,但去噪后的图像与原图像依然存在着差异。本文提出标准去噪器受到误差放大效应的影响,在误差放大效应中,小的残余的对抗性扰动被逐渐放大,并导致错误的分类。HGD通过使用一个损失函数克服了这个问题,该损失函数定义为干净图像和去噪图像激活的目标模型输出之间的差异。 我们尝试用了一些
Enhancing flow-based network monitoring-开源
05-07
标题提到的"Enhancing flow-based network monitoring-开源",指的是对基于流的网络监控技术的一种改进,并且这种改进是开源的,意味着它可供公众免费使用和修改。让我们深入探讨这个话题。 首先,网络监控主要涉及...
A retinex-based enhancing approach for single underwater image(图像处理旗舰会议)
02-09
标题与描述所指明的知识点是关于一种基于Retinex理论的水下图像增强方法。Retinex理论是图像处理领域的一个重要理论,它假设图像由反射分量和光照分量两个部分组成,其中反射分量决定了图像的颜色信息,光照分量则与...
A fusion-based enhancing approach for single sandstorm image
02-09
标题“A fusion-based enhancing approach for single sandstorm image”中所涉及的知识点主要围绕沙尘暴图像增强技术的研究,特别是针对单张沙尘暴图像的处理。描述中指出,这种新型图像增强方法以融合原则为基础,...
MiniGPT-4: Enhancing Vision-Language Understanding with Advanced
04-24
### MiniGPT-4: 强化视觉与语言理解能力 #### 概述 随着人工智能技术的迅速发展,特别是自然语言处理(NLP)领域的进步,越来越多的研究关注于如何更好地结合视觉与语言信息来增强机器的理解能力。...
Enhancing self-efficacy in minority youth: A group technique
06-29
Enhancing self-efficacy in minority youth: A group technique Enhancing Se[fEflcacy 183 Because the brief systemic approach emphasizes using time-limited methods to alter key response patterns in ...
独家解读 | Fisher信息度量下的对抗攻击
weixin_48294000的博客
06-01 998
论文题目:The Adversarial Attack and Detection under the Fisher Information Metric(AAAI2019)论文地址:h...
深度学习的黑魔法防御术:恶意样本(Adversarial Example) 的防御策略综述
白马负金羁
12-30 6130
随着深度学习研究的深入,相关应用已经在许多领域展现出惊人的表现。一方面,深度神经网络(DNN)的强大能力着实吸引着学术界和产业界的眼球。另外一方面,深度学习的安全问题也开始引起广泛地关注。对于一个给定的深度神经网络,经过训练,它可能在具体任务上的表现出甚至超过人类。但是在原本能够被正确分类的图像中引入稍许(人眼不易察觉的)扰动,神经网络就可能被误导,从而导致错误的结果。经过精心调整的能够误导神经网络的输入就被称为是恶意样本(Adversarial Example)
ICML(2020)对抗学习论文汇总
zenRRan的博客
02-11 527
点击上方,选择星标,每天给你送干货!来自 |知乎作者 |GeorgeLee地址 |https://zhuanlan.zhihu.com/p/145624170编辑 |机器学习算法与...
科研篇(11):ICLR20 分类整理-对抗样本&Meta-Learning
weixin_38316806的博客
05-13 1665
文章目录一、对抗样本1.1Enhancing Transformation-Based Defenses Against Adversarial Attacks with a Distribution Classifier .1.2 Implicit Bias of Gradient Descent based Adversarial Training on Separable Data1.3 Mixup Inference: Better Exploiting Mixup to Defend Advers
软件测试用例自动生成技术(一)
jsc9410的专栏
03-19 1万+
软件测试这一环节在软件开发周期中不可或缺。然而软件测试却花费软件开发超过一半的成本。因此利用软件测试用例自动生成技术来降低软件开发成本并提高软件开发效率就变得至关重要。
Provable Defenses against Adversarial Examples via the Convex Outer Adversarial Polytope
哟哟哟哟哟哟
08-19 1361
这篇文章讲了防御对抗样本的一个方法。 对抗样本是在原有的样本上加了一个人不可区分的微小扰动,使机器学习算法产生错误的结果。 一般用范数开衡量扰动和原样本之间距离。关于范数 如下图,最左边图中黑色的点代表原样本,周围的蓝色区域表示对抗样本。 如果要检测出对抗样本,直观上就是要求出这个蓝色的边框。但是经过神经网络之后,蓝色边框变得不规则。 这篇文章的主要思想就是用求蓝色多边形边框的凸近似...
2020年 ICLR 国际会议最终接受论文(poster-paper)列表(一)
yinizhilianlove的博客
02-21 1万+
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2020-01-22     2020年的ICLR会议将于今年的4月26日-4月30日在Millennium Hall, Addis Ababa ETHIOPIA(埃塞俄比亚首都亚的斯亚贝巴 千禧大厅)举行。     2020年ICLR会议(Eighth International Con...
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
热门推荐
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
[paper]Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser
weixin_43150428的博客
05-14 2134
本文提出了一种防御方法,即由高级特征主导的去噪器 high-level representation guided denoiser(HGD)。 标准去噪器具有误差放大效应,在这种效应中,较小的残留对抗噪声影响会逐渐放大,最终导致错误的分类。HGD通过将损失函数定义为由干净图像和去噪图像激活的目标模型输出之间的差值解决了这个问题。 HGD具有三个优点: HGD可以使目标模型面对对抗攻击更加鲁棒 HGD具有较好的泛化性 HGD效率更高(需要更少的训练数据和训练时间) 由于对抗样本使在原始图像添加特定的扰
enhancing mqtt-based machine-to-machine communication with python in iot sys
最新发布
12-11
随着物联网系统的不断发展,机器到机器的通信变得越来越重要。MQTT作为一种轻量级的通信协议,已经被广泛应用于物联网系统中。而Python作为一种灵活且强大的编程语言,可以用来增强MQTT-based的机器到机器通信。 首先,Python提供了丰富的库和工具,可以帮助开发人员更加便捷地使用MQTT协议。通过使用Python的MQTT客户端库,开发人员可以快速地建立起MQTT连接,并且方便地进行消息的发布和订阅操作。同时,Python还提供了各种各样的扩展库,可以用来处理与MQTT相关的数据和事件。 其次,Python具有较为友好的语法和良好的可读性,这使得开发人员可以更加高效地编写和维护MQTT-based的机器到机器通信代码。同时,Python还支持异步编程,这意味着可以编写高效的并发MQTT通信程序,从而提高系统的性能和响应速度。 此外,Python还可以与各种传感器、执行器和其他物联网设备进行良好的集成。开发人员可以利用Python的丰富库和工具,将MQTT通信与物联网设备的控制和监测结合起来,从而实现更加智能和灵活的物联网系统。 综上所述,通过使用Python来增强MQTT-based的机器到机器通信,可以使物联网系统变得更加灵活、高效和功能丰富。Python为开发人员提供了丰富的工具和良好的支持,从而可以更好地应对物联网系统中的各种挑战和需求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值