对抗样本方向论文泛读笔记(长期更新)

已于 2024-03-11 19:23:39 修改
阅读量632 收藏 9
点赞数 10
文章标签: 笔记
于 2024-02-25 15:59:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/v1716836592/article/details/136283157
版权

部分笔记基于知乎博主:咫尺小厘米 - 知乎

1. 黑盒攻击方向

1.1 Natural Color Fool: Towards Boosting Black-box Unrestricted Attacks

代码:   https://github.com/VL-Group/Natural-Color-Fool

无限制黑盒攻击

颜色分布库 Color Distribution Library

作者借鉴了Photographic tone reproduction的思想,基于 ADE20K数据集构建了针对不同语义类的“颜色分布的分布”(“distribution of color distributions“,DoD)。 具体来说,对于每个类别,DoD 提供了 20 个不同的主要分布集(由颜色分布表示),这些分布集是通过基于数据集中相应分割类别的调色板的层次聚类获得的,然后,由于每个簇中语义类的颜色分布相似,我们在每个簇中选择一个对象来表示该样式,最后,我们提取颜色分布形成我们的颜色分布库

Natural Color Fool (NCF) 黑盒攻击主要流程

生成的对抗样本xh'放到代理模型fθ上进行进行攻击,Ladv选用C&W

1.2 Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

这篇论文的第2部分“Background on Perceptual Color Distance”主要介绍了感知颜色距离(Perceptual Color Distance)的概念,以及它是如何与传统的RGB颜色空间中的距离度量相比较的。下面是对这部分内容的详细解释:

  1. 感知颜色距离的重要性

    • 传统的计算机视觉研究主要关注颜色空间本身,而不是颜色之间的距离。感知颜色距离是指人类视觉系统如何感知颜色之间的差异。
    • 感知颜色距离的研究对于理解人类如何感知颜色变化至关重要,这在图像处理、图像合成和其他视觉任务中非常有用。

  2. CIEDE2000颜色差异公式

    • 论文中使用的感知颜色距离度量是CIEDE2000,这是国际照明委员会(CIE)开发的最新颜色差异标准。
    • CIEDE2000通过添加五个修正项来改进前一版CIELAB颜色空间的定义,这些修正项基于大规模的人类视觉研究,能够更好地模拟人类的颜色感知。
    • CIEDE2000的颜色差异计算涉及到CIELCH颜色空间中的亮度(L)、色度(C)和色相(H)三个通道的差异,以及这些差异之间的交互项。

  3. 像素级感知颜色距离的计算

    • 论文中给出了CIEDE2000颜色差异的计算公式,该公式考虑了像素值在CIELCH空间中的亮度、色度和色相的差异。
    • 公式中的权重函数(SL, SC, SH, RT)和常数(kL, kC, kH)是根据人类视觉感知的实验研究确定的,用于补偿以更好地模拟人类的颜色感知。

  4. 与Lp范数的比较

    • 论文指出,虽然也可以使用Lp范数来度量CIELAB空间中的距离,但这种距离与人类感知的颜色距离相比,CIEDE2000更为准确。
    • 以往的研究中,CIEDE2000主要用于评估图像对的颜色相似性,而在本论文中,作者直接使用CIEDE2000进行优化,而不仅仅是用于评估。

  5. 相关工作

    • 论文提到了一些先前的研究,这些研究采用了CIEDE2000来评估图像对的颜色相似性,例如图像质量评估和图像超分辨率研究。
    • 与这些研究不同,作者在本论文中使用CIEDE2000直接进行优化,并通过反向传播来生成对抗样本。
  6. 像素感知颜色距离pixel-wise perceptual color distance

其中,各个

最低0.47元/天 解锁文章
【简易的黑盒对抗攻击】Simple Black-box Adversarial Attacks
风口IT猪的成长录
09-26 707
在计算机视觉领域,对抗攻击(adversarial attack)旨在通过向图片中添加人眼无法感知的噪音以欺骗诸如图像分类、目标识别等机器学习模型。如下图所示,输入原图像,图像分类器给出的结果为“是熊猫的概率为57.7%”,而在给原图像加上一段噪音后,结果变成了“是长臂猿的概率为99.3%”,但对于人类来说,这两张图片几乎是一模一样的。经噪音干扰后的图像被称为对抗样本对抗攻击的主要研究内容之一就是如何获得这种噪音来生成对抗样本
Simple Black-box Adversarial Attacks
Seaern的博客
11-28 1692
我们提出了一种有趣的简单方法,用于在黑盒环境中构建对抗性图像。与白盒场景相比,构建黑盒对抗图像对查询预算有额外的限制,而有效的攻击至今仍是一个悬而未决的问题。仅在连续值置信分数的温和假设下,我们的高效查询算法利用了以下简单的迭代原理: 我们从预定义的正交基中随机采样向量,并将其添加或减去到目标图像中。尽管简单,但所提出的方法既可以用于无目标攻击,也可以用于有目标攻击,这在两种设置中都带来了前所未有的查询效率。
人工智能学术顶会——NeurIPS 2022 议题(网络安全方向)清单、摘要与总结
漏洞战争
07-09 5041
按语:随着大模型的崛起,将AI再次推向一个高峰,受到的关注也越来越大。在网络安全领域,除4大安全顶会外,一些涉及AI的安全话题,包括对AI的攻防研究,以及应用AI做安全的研究方向,也会发表在AI顶会上。但是,像NeurIPS 2022年的议题就有2834个(2023年还在 call for papers),手工翻一遍都得很久,何况还要分类出安全主题的,更是费劲,因此我利用AI去做主题分类,把感兴趣...
【大模型安全】模型对抗攻击手段
大河之犬的博客
03-05 1615
对抗攻击通过对输入数据增加一些不易受到人类感知的扰动,使得模型在输入数据上产生错误的输出结果,从而干扰或破坏模型的性能和可靠性。数据投毒等攻击手段需要攻击者控制训练集等,而对抗攻击仅需针对模型生成特定扰动对抗攻击的核心思想是通过对输入数据进行微小的扰动,使其几乎无法被人眼察觉,但会对模型的预测结果产生显著影响。这些微小的扰动包括添加、删除或修改输入数据中的一些特征。例如,在图像分类任务中,对抗攻击者可以通过微调像素值或添加噪声,使图像看起来与原始图像几乎没有差异,但却能使模型将其错误分类。
基于梯度的黑盒迁移对抗攻击(附代码)
欢迎来到道的世界
08-06 4282
 黑盒迁移攻击是对抗攻击中非常热门的一个研究方向,基于动量梯度的方法又是黑盒迁移攻击的一个主流方向。当前大部分研究主要通过在数据样本的尺寸,分布,规模,时序等方面来丰富梯度的多样性,使得生成的对抗样本在迁移到其它的模型攻击时,能够有更高的攻击成功率。本文会介绍最近几年有代表性的黑盒迁移攻击的论文,这些论文的方法经常会被当成论文比较的baseline。我对论文中涉及到一些数学结论进行补充证明,大部分论文中给出的源码是tensorflow的,我又根据论文的算法流程图用pytorch对论文的核心方法重新编程了一下
论文泛读183】用于小样本文本分类的元学习对抗域适应网络
scu-liu的博客
07-28 1145
贴一下汇总贴:论文阅读记录 论文链接:《Meta-Learning Adversarial Domain Adaptation Network for Few-Shot Text Classification》 一、摘要 元学习已成为解决少样本文本分类并实现最先进性能的趋势技术。然而,现有的解决方案严重依赖于对训练数据的词汇特征及其分布特征的利用,而忽略了增强模型适应新任务的能力。在本文中,我们提出了一种与对抗域适应网络集成的新型元学习框架,旨在提高模型的自适应能力并为新类别生成高质量的文本嵌入。在四个基准
Cognitive Graph for Multi-Hop Reading Comprehension at Scale论文泛读笔记
freedom_king的博客
09-08 2016
一、写在前面的话 由于时间有点赶,所以大致上只是简单地浏览了一遍,如有不对的地方,还望多多指教。整体看来,该模型的提出是针对多跳阅读理解,即若问题想要的答案无法在包含在一次检索中。 故CogQA使用两个系统来维护一张认知图谱(Cognitive Graph),系统一在文本中抽取与问题相关的实体名称并扩展节点和汇总语义向量,系统二利用图神经网络在认知图谱上进行推理计算。 二、论文模型 1. 系统一...
论文泛读169】少数线索:中文的小样本学习评估基准
scu-liu的博客
07-17 582
贴一下汇总贴:论文阅读记录 论文链接:《FewCLUE: A Chinese Few-shot Learning Evaluation Benchmark》 一、摘要 预训练语言模型 (PLM) 在自然语言理解任务中取得了巨大成功。虽然针对英语等语言已经广泛探索和比较了不同的学习方案——微调、零样本和少样本学习——但在中文方面,公平、全面地评估和比较这些方法的工作相对较少。这项工作首先介绍了中文小样本学习评估基准(FewCLUE),这是中文第一个综合性小样本评估基准。它包括九个任务,从单句和句子对分类任务到
SCI论文笔记(持续更新
最新发布
a5556667778889的博客
05-01 742
SCI的写作方法笔记,实用干货。
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
showswoller的博客
12-31 2058
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
基于深度强化学习的黑盒对抗攻击算法.pdf
08-18
基于深度强化学习的黑盒对抗攻击算法.pdf
ColorFool: Semantic Adversarial Colorization
sinat_36059653的博客
04-16 486
ColorFool: Semantic Adversarial Colorization 文章目录ColorFool: Semantic Adversarial Colorization问题之前的攻击方法BigAdv:SemanticAdv:ColorFool 论文收录于CVPR 2020 问题 作者将对抗扰动分为 restricted 和 unrestricted restricted 是指通过 Lp 范式控制扰动的大小。这种攻击方式对去噪滤波器、对抗训练等防御并不健壮,因为这种扰动通常具有高的空间频
Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution
weixin_49171105的博客
10-18 709
这项工作研究了针对深度神经网络 (DNN) 的,其中攻击者只能访问被攻击的 DNN 模型返回的查询反馈,而模型参数或训练数据集等其他信息是未知的。提高攻击性能的一种有前途的方法是利用一些白盒代理模型和目标模型(即被攻击模型)之间的对抗性可迁移性。然而,由于代理模型和目标模型之间的模型架构和训练数据集可能存在差异,被称为“”,对抗性可迁移性对提高攻击性能的贡献可能会被削弱。为了解决这个问题,我们创新地提出了一种黑盒攻击方法,通过开发一种对抗性可转移性的新机制,该机制对代理偏差具有鲁棒性。总体思路是。
CVPR 2022 | 清华&港中大提出:Glow模型助力黑盒对抗攻击
阿木寺的博客
12-26 662
点击下方卡片,关注“CVer”公众号AI/CV重磅干货,第一时间送达点击进入—>CV微信技术交流群近日,清华大学,香港中文大学(深圳)等单位联合发表了一篇在对抗机器学习领域中黑盒攻击场景下的论文,已顺利被CVPR 2022接收。通过迁移一部分替代模型的条件对抗分布(CAD)的参数,同时根据对目标模型的查询学习剩下未迁移的参数,所提出的方法可以在任何新的正常样本上调整目标模型的 CAD以提高攻...
AdvFlow:一种基于标准化流的黑盒攻击新方法,产生更难被发觉的对抗样本 | NeurIPS‘20
极市平台的技术博客
12-08 1250
本文提出一种新的黑盒对抗攻击方法AdvFlow,通过利用标准化流来建模对抗样本的数据分布,使得生成的对抗样本的分布和正常样本接近,从而让对抗样本更难被检测出来,打破了对抗样本和正常样本的分布大不相同的固有认知。 论文地址:https://arxiv.org/abs/2007.07435 论文代码:https://github.com/hmdolatabadi/AdvFlow 本文为极市原创投稿,转载请获得授权。 引言 虽然神经网络在很多机器学习任务上都取得了非凡的表现,但是通过对输入样本添加微小的扰动
黑盒攻击很难?元学习提高"黑盒对抗攻击"成功率
我爱计算机视觉
04-12 1283
关注公众号,发现CV技术之美本文分享论文Boosting Black-Box Adversarial Attacks with Meta Learning』,元学习提高黑盒对抗攻击。详细信息如下:论文链接:https://arxiv.org/abs/2203.14607 01 引言在深度学习中,黑盒攻击是对抗攻击中最难的一种攻击方式,它不像白盒攻击可...
黑盒攻击的分类_对抗样本论文笔记(7)——首个无需真实数据的黑盒攻击模型...
weixin_34571272的博客
01-08 1512
《DaST: Data-free Substitute Training for Adversarial Attacks》作者单位:电子科技大学、旷视科技成都研究院收录时间:2020 CVPR文章亮点:首个无需真实数据的黑盒攻击模型Motivation:文章利用对抗生成网络(GANs)生成的合成样本去训练替身模型,然而传统的GAN在没有真实数据的情况下,生成的样本分布可能及其不均,且只包含一部分类...
什么是对抗样本、对抗攻击(详解)
热门推荐
10-18 3万+
1.对抗样本 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2.对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗性攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗性攻击主要.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值