对抗攻击
文章平均质量分 52
孤山大姐姐
这个作者很懒,什么都没留下…
展开
-
2021 ISSTA《AdvDoor: Adversarial Backdoor Attack of Deep Learning System》阅读笔记
原创 2021-06-30 12:00:34 · 377 阅读 · 2 评论 -
《Adversarial Attacks on Neural Network Policies》阅读笔记
目录摘要介绍白盒攻击过程摘要对抗攻击可以攻击基本的神经网络模型,攻击常见的深度学习任务(如分类、识别)等,仅需要通过修改一像素的值,就可以使得神经网络输出目标结果,并且在白盒与黑盒场景下均可以攻击成功。值得注意的是,考虑到现实任务中积攒的数据往往总是那么规整,全面,且需要人工智能模型参与决策的任务变得非常服啊,对无监督学习、强化学习模型的攻击(在某些应用场景下也可以理解为测试)也需要考虑到其特质,进行进一步研究。本文提出目前的对抗攻击策略也能用于攻击强化学习策略。介绍强化学习没有大量的标记好的训练样原创 2021-03-24 15:58:10 · 550 阅读 · 2 评论 -
《Ensemble adversarial black-box attacks against deep learning systems》笔记
本文目录摘要基于集成的黑盒攻击方法SCESSPES分析总结摘要本文提出了两种基于集成的黑盒攻击策略,分别是selective cascade ensemble strategy (SCES,不知道怎么翻起来信达雅) 和 stack parallel ensemble strategy (SPES,不知道怎么翻起来信达雅)。基于集成的黑盒攻击方法本文提出的两种方法都是基于集成的,SCES方法可以理解为串联方法,而SPES可以理解为并串联方法。为什么要采用集成的攻击方法呢?目前的黑盒对抗攻击方法主要还原创 2021-03-15 17:24:33 · 528 阅读 · 2 评论 -
《Black-box attack against handwritten signature verification with region..》笔记
签名数据的特点:字迹清晰,空白区域明显傻瓜归纳如下:设置最优化问题:最小扰动 将最优化问题的s.t.限制设置为签名的签字区域,而不是非字迹的空白区域 外循环:选择一些区域内的位置/像素点来扰动 内循环:在选择的位置/像素点内选择最优的 获得对抗样本个人认为这个方法本身没有太大创新点,属于应用创新。...原创 2021-03-15 15:29:06 · 104 阅读 · 0 评论 -
《Universal adversarial perturbations》总结笔记
扰动方法概括:本文提出的算法要求的是将同分布的一批训练样本推出决策边界的最小扰动向量。如图所示,算法通过迭代依次求出每个训练样本的推出扰动向量算法讲解:如上图伪码,首先X取自同一分布的训练样本,是预测标签,当通用扰动添加到X中所有样本上时,错误率达到阈值,结束while循环。while循环内,对X中每一个样本,如果之前已经生成的通用扰动添加到该样本上时,网络仍然正确分类,则把已经生成的通用扰动向量基础上再“放大一些”,使得对而言,能被分类错误。最后将更新为最新生成的通用扰动,其实就是原创 2021-03-15 15:23:05 · 496 阅读 · 0 评论