阅读笔记 DeepFool: a simple and accurate method to fool deep neural networks *初次编辑于2020.9.1* by EnEn *再次修改于2020.9.2* by EnEn
初次编辑于2020.9.1 by EnEn
再次修改于2020.9.2 by EnEn
Abstract
DNN是最先进的图像分类器,但是遇到小的对抗扰动 就会判断错误,即使带有对抗扰动 的图片(从肉眼看)与原图片几乎没有区别。而基本上所有的模型都有这样的对抗扰动 ,因此研究对抗扰动 是有必要的。
- 提出Deep Fool 算法
- 计算(使一个网络判断错误的)扰动,
- 量化分类器的鲁棒性
Introduction
设 能够 改变预测的结果(记为 k ^ ( x ) \hat k (\textbf x) k^(x)),且 最小 的扰动为 r r r
Δ ( x ; k ^ ) : = m i n r ∣ ∣ r ∣ ∣ 2 \Delta(\textbf x; \hat k ):=\mathop{min}\limits_{\textbf r}||\textbf r||_2 Δ(x;k^):=rmin∣∣r∣∣2 且 k ^ ( x + r ) ≠ k ^ ( x ) \hat k (\textbf x+\textbf r) \neq \hat k (\textbf x) k^(x+r)=k^(x)
其中, x \textbf x x为图片, k ^ ( x ) \hat k (\textbf x) k^(x)为预测的标签, Δ ( x ; k ^ ) \Delta(\textbf x; \hat k ) Δ(x;k^)为 k ^ ( x ) \hat k (\textbf x) k^(x)在 x \textbf x x处的鲁棒性
而分类器 k ^ \hat k k^ 的鲁棒性定义为
ρ a d v ( k ^ ) = E x Δ ( x ; k ^ ) ∣ ∣ x ∣ ∣ 2 \rho_{adv} (\hat k) = \mathbb{E}_\textbf x \frac{\Delta(\textbf x; \hat k )}{||\textbf x ||_2} ρadv(k^)=Ex∣∣x∣∣2Δ(x;k^)
其中, E x \mathbb{E}_\textbf x Ex是图片 x \textbf x x的分布期望。
对抗扰动可以让我们了解分类器的特征
这篇文章的主要贡献有
- 简单且准确地计算和比较不同分类器对对抗扰动的鲁棒性。
- 我们提出的方法比目前已知的方法更稳定,更有效;利用对抗样本扩大训练集可以明显提高对对抗扰动的鲁棒性
- 我们提出的方法可以更好地理解为什么不准确(计算对抗扰动)的方法会带来不同的鲁棒性的结论,以及==它(We show that using imprecise approaches for the com- putation of adversarial perturbations could lead to dif- ferent and sometimes misleading conclusions about the robustness. Hence, our method provides a better un- derstanding of this intriguing phenomenon and of *its influence factors.==的影响因子
DeepFool for binary classifiers
k ^ ( x ) = s i g n ( f ( x ) ) \hat k(\textbf x)=sign(f(\textbf x)) k^(x)=sign(f(x))
其中, f f f是任意标量的图像分类器
f : R n → R f : \mathbb R^n\rightarrow\mathbb R f:Rn→R
F Δ = { x : f ( x ) = 0 } \mathscr F\mathop{\Delta}\limits_{=}\{\textbf x : f(\textbf x)=0\} F=Δ{
x:f(x)=0}定义为零点
首先, f f f是affine分类器 f ( x ) = ω ⊤ x + b f(\textbf x)=\omega ^\top \textbf x+b f(x)=ω⊤x+b
f f f在 x 0 \textbf x_0 x0处的鲁棒性是 Δ ( x 0 ; f ) \Delta(\textbf x_0; f) Δ(x0;f),相当于 x 0 \textbf x_0 x0到 F = { x : ω ⊤ x + b = 0 } \mathscr F=\{\textbf x : \omega^\top \textbf x+b=0\} F={
x:ω⊤x+b=0}的距离 如下图
那么改变分类器选择的最小扰动 r r r是 x \textbf x x在 F \mathscr F F上的垂直映射。
则 r ∗ ( x 0 ) : = a r g m i n ∣ ∣ r ∣ ∣ 2 \textbf r_*(\textbf x_0) := arg min ||\textbf r||_2 r∗(x0):=argmin∣∣r∣∣2 且 s i g n ( f ( x 0 + r ) ) ≠ sign(f(\textbf x_0+\textbf r))\neq sign(f(x0+r))= s i g n ( f ( x 0 ) ) = − f ( x 0 ) ∣ ∣ ω ∣ ∣ 2 2 ω sign(\textbf f (x_0))= - \frac{f(\textbf x_0)}{||\omega||^2_2}\omega sign(f(x0))=−∣∣ω∣∣22f(x0)ω
f f f是适用大部分实验的二分分类器,我们采用迭代的操作估计鲁棒性 Δ ( x 0 ; f ) \Delta(\textbf x_0; f) Δ(x0;f)。特别的是,在每一个迭代中, f f f在当前点 x i \textbf x_i xi是线性化的。
a r g m i n r i ∣ ∣ r i ∣ ∣ 2 \mathop{arg min}\limits_{r_i}||r_i||_2 r
最低0.47元/天 解锁文章
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
