本文深入探讨了对抗样本的成因,提出神经网络的线性属性是攻击样本存在的关键。论文提出Fast Gradient Sign Method(FGSM)攻击方法,揭示了通过线性扰动即可有效影响神经网络的输出。此外,通过对抗训练,可以提升模型对攻击样本的防御性能,降低模型错误率。对抗样本的迁移性问题也得到了解释,源于不同模型间可能存在相似的学习权重。
论文: https://arxiv.org/pdf/1412.6572.pdf
代码: https://github.com/1Konny/FGSM
Summary
对抗攻击领域的开山之作之一,这篇论文最令人熟知的是其提出了经典的Fast Gradient Sign Method(简称FGSM)攻击方法,大大提高了攻击样本生成的效率。但事实上,这篇论文关注的核心问题是:为什么攻击样本会存在?作者提出“神经网络的线性属性才是攻击样本存在的原因”。从行文思路上来说,这篇论文不同于一般论文的motivaion-related work-method-experiments-conclusion结构,而是围绕核心问题提出一系列的疑问,分别提出观点并进行理论和实验的验证。本文接下来将从作者讨论的问题里挑选比较重要(看得懂)的几个来分享。
Discussion
攻击样本的线性解释
关于攻击样本为什么会存在这个问题?此前的观点包括神经网络的非线性属性以及网络训练的过拟合等。为了弄清楚这个问题,我们首先需要清楚一点,那就是数字图像本身就是不准确的。由于图像量化的原因,数字图像的像素值是[0,255]之间的整数值,那么也就是说,当像素值的差异在1/255之内时,这种差异是无法体现在图像侧的。也就是说,如果存在 x ~ = x + η \tilde{x}=x\,+\,\eta x~=x+η,当 ∣ ∣ η ∣ ∣ ∞ < ϵ ||\eta||_{\infty}<\epsilon ∣∣η∣∣∞<ϵ即会被图像量化所忽略时,那么分类器对于 x x x与 x ~ \tilde{x} x~的输出应该是一致的。
然而,我们将神经网络的前向传播简化为一个简单的点乘形式(如下式),其中 w w w代表网络的参数。那么,对抗样本会使得网络的输出增大 w T η w^T\eta
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
