Paper笔记: 《Towards Evaluating the Robustness of Neural Networks》(CW攻击)

最新推荐文章于 2024-04-09 16:45:25 发布
最新推荐文章于 2024-04-09 16:45:25 发布
阅读量784 收藏 10
点赞数 1
分类专栏: 对抗攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37627840/article/details/114270525
版权
本文介绍了《Towards Evaluating the Robustness of Neural Networks》论文中提出的CW攻击方法,该方法成功突破了当时被认为坚不可摧的防御性蒸馏,攻击成功率接近100%。文章详细探讨了CW攻击的动机、贡献、攻击策略,包括基于L0、L2和L∞距离的优化目标,并分析了如何有效地处理像素值约束。实验表明,CW攻击在多个数据集上表现出高成功率和低扰动,对防御性蒸馏构成严重威胁,同时提出迁移性攻击的概念,进一步验证了其鲁棒性。
摘要由CSDN通过智能技术生成

论文: https://arxiv.org/pdf/1608.04644.pdf?source=post_page
代码:https://github.com/Harry24k/CW-pytorch

Motivation

  又是一篇对抗攻击领域的基石之作,论文的思路主要针对当时最强的防御方法——防御性蒸馏。在当时,几乎所有的攻击方法都无法攻破防御性蒸馏,而本文的方法在面对防御性蒸馏时,取得了几乎100%的攻击成功率,这也再一次推动了对抗攻防算法的演进。

Contribution

  作者提出了一种新的攻击方法(业界常称之为CW),可以以几乎100%的成功率攻破适应性防御,并成为检验防御模型效果的一个新的baseline。作者将本文的贡献总结为以下四点:
(1) 基于 L 0 L_0 L0 L 2 L_2 L2 L ∞ L_\infty L距离设计了三种攻击方法。
(2) 利用这三种攻击方法攻破防御性蒸馏。
(3) 提出利用高置信度的攻击样本来进行迁移攻击,作为测试模型鲁棒性的手段,同时这种方法也成功攻破了防御性蒸馏。
(4) 系统性地评估了不同损失函数对攻击效果的影响,发现损失函数的选择影响巨大。

Method

目标函数

  首先来看对抗攻击优化函数的最基本形式:
m i n i m i z e    D ( x , x + δ ) s u c h    t h a t    C ( x + δ ) = t      x + δ ∈ [ 0 , 1 ] n minimize\,\,D(x,x+\delta) \\ such\,\,that\,\,C(x+\delta)=t \,\,\,\, x+\delta\in[0,1]^n minimizeD(x,x+δ)suchthatC(x+δ)=tx+δ[0,1]n
  上述的优化问题是无法直接求解的,因此需要定义关于分类的损失函数 f f f,使得当且仅当 f ( x + δ ) ≤ 0 f(x+\delta)\leq0 f(x+δ)0时, C ( x + δ ) = t C(x+\delta)=t C(x+δ)=t成立,从而联立 D D D f f f,形成可解的优化函数形式。这里作者讨论了以下7种损失函数,其中, s o f t p l u s ( x ) = l o g ( 1 + e x p ( x ) ) softplus(x) = log(1+exp(x)) softplus(x)=log(1+exp(x)),而 l o s s loss loss代表交叉熵损失函数。
f 1 ( x ′ ) = − l o s s F , t ( x ′ ) + 1 f 2 ( x ′ ) = ( m a x i ≠ t F ( x ′ ) i − F ( x ′ ) t ) + f 3 ( x ′ ) = s o f t p l u s ( m a x i ≠ t F ( x ′ ) i − F ( x ′ ) t ) − l o g ( 2 ) f 4 ( x ′ ) = ( 0.5 − F ( x ′ ) t ) + f 5 ( x ′ ) = − l o g ( 2 F ( x ′ ) t − 2 ) f 6 ( x ′ ) = ( m a x i ≠ t Z ( x ′ ) i − Z ( x ′ ) t ) + f 7 ( x ′ ) = s o f t p l u s ( m a x i ≠ t Z ( x ′ ) i − Z ( x ′ ) t ) − l o g ( 2 ) f_1(x') = -loss_{F,t}(x') + 1 \\ f_2(x') = (\underset{i\neq t}{max} F(x')_i - F(x')_t)^+ \\ f_3(x') = softplus(\underset{i\neq t}{max} F(x')_i - F(x')_t) - log(2) \\ f_4(x') = (0.5 - F(x')_t)^+ \\ f_5(x') = -log(2F(x')_t - 2) \\ f_6(x') = (\underset{i\neq t}{max} Z(x')_i - Z(x')_t)^+ \\ f_7(x') = softplus(\underset{i\neq t}{max} Z(x')_i - Z(x')_t) - log(2) f1(x)=lossF,t(x)+1f2(x)=(i=tmaxF(x)i

最低0.47元/天 解锁文章
Lovewxy_不再回忆
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
pytorch框架实现C&W算法
weixin_57686258的博客
05-20 380
【代码】pytorch框架实现C&W算法。
5.基于优化的攻击——CW
weixin_33852020的博客
03-30 2590
CW攻击原论文地址——https://arxiv.org/pdf/1608.04644.pdf 1.CW攻击的原理   CW攻击是一种基于优化的攻击攻击的名称是两个作者的首字母。首先还是贴出攻击算法的公式表达:  下面解释下算法的大概思想,该算法将对抗样本当成一个变量,那么现在如果要使得攻击成功就要满足两个条件:(1)对抗样本和对应的干净样本应该差距越小越好;(2)对抗样本应该使...
对抗攻击、防御论文介绍
Turbo_Come的博客
03-13 1451
攻击: 快速梯度符号法(FGSM),通过在损失梯度的梯度方向上添加增量来生成一个对抗示例: Goodfellow, Ian J., Jonathon Shlens, and Christian Szegedy. Explaining and harnessing adversarial examples. 基本迭代方法(BIM),它是FGSM的改进版本,与FGSM相比,BIM执行多个步...
C&W攻击算法
weixin_49171105的博客
07-30 4816
C&W是一种基于优化的攻击方式,它同时兼顾高攻击准确率和低对抗扰动的两个方面。首先对抗样本需要用优化的参数来表示,其次在优化的过程中,需要达到两个目标,目标一是对抗样本和对应的干净样本应该差距越小越好;目标二是对抗样本应该使得模型分类错,且错的那一类的概率越高越好。......
CW对抗样本生成算法 torch实现_cw对抗攻击(1),2024年最新网络安全技术篇
2301_78399616的博客
04-09 1043
外链图片转存中…(img-S2Qe6oz4-1712652310504)][外链图片转存中…(img-ImRem0mN-1712652310505)][外链图片转存中…(img-6crsAegL-1712652310505)][外链图片转存中…(img-SOLPXeQg-1712652310506)][外链图片转存中…(img-VyrLM2Ry-1712652310506)][外链图片转存中…(img-HoLKmZup-1712652310506)]
对抗攻击8——CW(Carlini & Wagner)
欢迎来到道的世界
04-06 3701
 卡利尼和瓦格纳[44]引入了一系列攻击来寻找最小化不同相似性度量的对抗性扰动:L0、L2和L∞等。核心观点是将类似于BFGS攻击的一般约束优化策略31转化为无约束优化公式中经验选择的损失函数:LCW(x′,t)=max⁡(max⁡i≠t{Z(x′)(i)}−Z(x′)(t),−κ) \mathcal{L}_{C W}\left(x^{\prime}, t\right)=\max \left(\max _{i \neq t}\left\{Z\left(x^{\prime}\right)_{(i)}\righ
Self-Distillation: Towards Efficient and Compact Neural Networks
01-15
【深度学习】与【知识蒸馏】是当前AI领域的热门话题,它们对于构建高效和紧凑的神经网络至关重要。本文提出的【自蒸馏】方法是一种创新的技术,旨在解决深度神经网络(DNN)在精度提高的同时计算量和参数数量急剧...
论文阅读-对抗性流量样本 Adversarial Network Traffic: Towards Evaluating the
最新发布
07-11
### 对抗性流量样本 Adversarial Network Traffic: Towards Evaluating the Robustness of Deep Learning-Based Network Traffic Classifiers #### 概述 随着网络流量管理、策略实施和入侵检测等领域的不断发展,...
FPGA implementations of neural networks
05-14
During the 1980s and early 1990s there was significant work in the design and implementation of hardware neurocomputers. Nevertheless, most of these efforts may be judged to have been unsuccessful: at...
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗性攻击以生成对抗性示例。 干净的图像 对抗形象 目录 推荐的地点和配套 用法 :clipboard: 依存关系 火炬== 1.4.0 Python== 3.6 :hammer: 安装 pip install torchattacks或 git clone https://github.com/Harry24k/adversairal-attacks-pytorch import torchattacks atk = torchattacks . PGD ( model , eps = 8 / 255 , alpha = 2 / 255 , steps = 4 ) adversarial_images = atk ( images , labels ) :warning: 预防措施 在用于攻击之前,应使用transform [to.Tensor()]将所有图像缩放为
STAN: Towards Describing Bytecodes of Smart Contract.pdf
07-20
以太坊智能合约字节码分析。 In Proc. of the 20th IEEE International Conference on Software Quality, Reliability and Security (QRS), 2020.
基于AlexNet的对抗样本攻击
m0_58092763的博客
10-05 1637
CW算法是一种基于优化的算法,它同时兼顾高攻击准确率和低对抗扰动的两个方面,达到真正意义上对抗样本的效果,即在模型分类出错的情况下,人眼不可查觉。如果样本攻击成功就要满足两个条件:(1)对抗样本和对应的干净样本应该差距越小越好;(2)对抗样本应该使得模型分类错,且错的那一类的概率越高越好。由这两部分对应两个loss函数。第一部分,rn对应着干净样本和对抗样本的差,把对抗样本映射到了tanh空间里面,使x可以在-inf到+inf做变换,有利于优化。
Towards Evaluating the Robustness of Neural Networks(翻译,侵删)
bash_winner的博客
02-19 1190
Towards Evaluating the Robustness of Neural Networks 面向评估神经网络的鲁棒性 论文地址 https://ieeexplore.ieee.org/abstract/document/7958570 摘要 深度网络对于大多数的机器学习任务提供了顶尖的结果。不幸的是,深度网络容易受到对抗样本攻击:给定一个输入xxx和任何类别ttt,有可能找到一个新的输入x′x^\primex′,与xxx相似但是分类为ttt。这使得在安全的领域应用神经网络变得困难。防御蒸馏时最
基于信号512的CW攻击
深度学习菜鸟上线
06-19 572
基于信号512的CW攻击数据集处理攻击代码实验结果 数据集处理 import numpy as np import h5py import random from keras.utils import to_categorical from keras.models import load_model import os from keras.models import Sequential from keras.layers import Dense, Dropout, Activation, Flat
对抗机器学习——Towards Evaluating the Robustness of Neural Networks
jmhIcoding
09-28 4816
论文代码: http://nicholas.carlini.com/code/nn_robust_attacks 论文motivation: 蒸馏网络说自己短小强撼,可以为目标网络模型提供很强的鲁棒性,号称自己能够把已经出现的攻击的成功率从95%锐减到0.5%。作者不信这个邪,于是基于L0,L2,L无穷范数提出三种新的攻击方法,尝试攻击蒸馏网络,而且还攻击成功了。而且作者认为,基于他们提出的三种攻...
[论文笔记]Towards Evaluating the Robustness of Neural Networks
weixin_45019830的博客
09-02 478
之前有人提出蒸馏网络,说是可以为目标网络模型提供很强的鲁棒性,能够把已出现的攻击的成功率从95%锐减到0.5%。作者提出了新的攻击方法,成功攻击了蒸馏网络。(c&w) 文章简介: 证明defensive distillation不能显著地提高模型的鲁棒性 介绍了3种新的攻击算法,可以在distilled和undistilled神经网络达到100%的攻击成功率 本文的攻击相比于以前的攻击通常会更有效 本文的对抗性例子可以从不安全的网络模型迁移到distilled(安全)的网络模型去 数据集:MNIS
健壮性 Robustness
xiaoshengforever的专栏
11-04 2547
鲁棒是Robust的音译,也就是健壮和强壮的意思。它是在异常和危险情况下系统生存的关键。比如说,计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。所谓“鲁棒性”,是指控制系统在一定(结构,大小)的参数摄动下,维持其它某些性能的特性。根据对性能的不同定义,可分为稳定鲁棒性和性能鲁棒性。以闭环系统的鲁棒性作为目标设计得到的固定控制器称为鲁棒控制器。
为什么神经网络会把乌龟识别成步枪?现在的 AI 值得信任吗?
人工智能学家
12-08 551
来源:36Kr 概要:人工智能的快速发展的确值得欣喜,但快速发展的背后还有各种不完善的地方。 人工智能的快速发展的确值得欣喜,但快速发展的背后还有各种不完善的地方。比如,前不久麻省理工学院的一些学生,利用3D打印出来的乌龟,成功地让谷歌的InceptionV3图像分类器认为其是一个步枪。乌龟=步枪?这个差距还是非常巨大的。如果正在行驶的无人汽车,把一个停车标志看成了限速标志呢?这将会带
towards deeper graph neural networks
08-12
最近,对于图神经网络的研究日益深入,引起了广泛关注。图神经网络是一种能够对图数据进行建模和分析的神经网络模型。它可以处理任意结构的图形数据,如社交网络、蛋白质互作网络等。 在过去的几年中,研究者们提出了许多图神经网络的模型和方法。然而,这些方法仍然面临一些挑战,例如有效地处理大型图形数据、学习高质量的图嵌入表示以及推理和预测复杂的图结构属性等。 为了克服这些挑战,研究人员开始通过增加神经网络的深度来探索更深的图神经网络模型。深度模型具有更强大的表达能力和学习能力,可以更好地捕捉图数据中的关系和模式。这些深层图神经网络可以通过堆叠多个图神经网络层来实现。每个图神经网络层都会增加一定的复杂性和抽象级别,从而逐渐提高图数据的表达能力。 除了增加深度外,研究人员还提出了一些其他的改进来进一步提高图神经网络的性能。例如,引入注意力机制可以使模型能够自动地选择重要的节点和边来进行信息传播。此外,研究人员还研究了如何通过引入图卷积操作来增强图数据的局部性,从而提高图神经网络模型的效果。 综上所述,对于更深层的图神经网络的研究将在处理大规模图形数据、学习高质量的图表示以及进行复杂图结构属性的推理方面取得更好的性能。随着深度图神经网络的推广和应用,我们可以预见它将在许多领域,如社交网络分析、推荐系统和生物信息学中发挥重要作用,为我们带来更多的机遇和挑战。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值