【论文笔记】(De)Randomized Smoothing for Certifiable Defense against Patch Attacks

最新推荐文章于 2024-05-08 09:41:48 发布
最新推荐文章于 2024-05-08 09:41:48 发布
阅读量734 收藏 2
点赞数 1
文章标签: 人工智能 深度学习 神经网络 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40653850/article/details/126001572
版权

 

【摘要】

在本文中,我们介绍了一种可认证的防御补丁攻击的方法,保证对于给定的图像和补丁攻击大小,不存在补丁对抗的例子。我们的方法与广泛的随机平滑鲁棒性方案有关,它提供了高置信度的概率鲁棒性证书。通过利用补丁攻击比一般稀疏攻击更受限制这一事实,我们得出了针对它们的有意义的大型鲁棒性证书。此外,与针对Lp和稀疏攻击的基于平滑的防御相比,我们针对补丁攻击的防御方法是去随机化的,产生了改进的、确定性的证书。与Chiang等人(2020年)提出的现有补丁认证方法相比,我们的方法可以大大加快训练速度,在CIFAR-10上实现了高清洁和认证的稳健准确性,并在ImageNet规模上提供证书。例如,对于CIFAR-10上的5×5补丁攻击,我们的方法实现了高达57.6%的认证精度(分类器的清洁精度约为83.8%),而现有方法的认证精度最多为30.3%(分类器的清洁精度约为47.8%)。我们的结果有效地建立了一个新的最先进的可认证的防御CIFAR-10和ImageNet的补丁攻击的方法。

【引言】

在此之前,Chiang et al.根据区间约束传播提出了第一个经过认证的防御对抗补丁攻击的算法,并且Chiang et al.在论文中证明了基于启发式的局部梯度平滑(LGS)算法可以被更强大的攻击攻破。然而,虽然这种认证防御在MNIST上表现良好,但它在CIFAR-10上的认证准确率很低,而且,引用该论文本身的话说,"不太可能扩展到ImageNet"。在这项工作中,我们提出了一种针对补丁攻击的认证防御,它克服了这些问题。特别是,我们的可认证防御方法导致了以下结果。

编辑切换为居中

添加图片注释,不超过 140 字(可选)

此外,Chiang et al.提出的认证防御也有一个计算昂贵的训练算法:使用NVIDIA 2080 Ti GPU,报告的最佳模型对MNIST的训练时间为8.4个GPU小时数,对CIFAR-10的训练时间为15.4个GPU小时数。相比之下,我们的模型在同一型号的GPU上,对MNIST的训练大约需要1.0个GPU小时数,对CIFAR-10的训练需要2.5个GPU小时数。(在认证精度和时间成本上都高于Chiang et al.

我们的可证明的稳健分类方案是基于随机平滑,这是一类可证明的稳健分类器,所有这些方法都依赖于一个类似的机制——如果有足够大的一部分来自x的噪声图像被归入某个类别c,那么在高置信度下,多个来自x0的噪声图像也将被分配到这个类别。

在本文中,我们提出了一个结构化消融方案,我们不是独立选择用于分类的像素,而是以一种相关的方式选择像素,以减少对抗性补丁被采样的概率。从经验上看,与天真的L0证书相比,结构化消融证书对补丁攻击的认证精度有很大提高。

【对抗补丁的认证防御】

Baseline:稀疏随机消融

编辑

添加图片注释,不超过 140 字(可选)

其中 Δ为攻击者改变 f(x) 输出的最大概率。令 c 为 x 处的多数分类(即 g(x) = c)。如果 f(x) = c 的概率大于 0.5 + Δ,那么对于任何失真图像 x0,可以得出结论 f(x0) = c 的概率大于 0.5,因此 g(x0) = c。但是,作者实验结果表明该算法在应用于补丁攻击时,它会产生相当差的认证准确性(难以产生确定性的证书),因为它没有利用攻击的结构。

方法提出:Structured Ablation(结构化消融)

为了利用补丁攻击的受限性质,我们提出了两种结构化消融方法,它们选择相关的像素组以降低对抗性补丁被采样的概率 Δ:

  • Block Smoothing: 作者使用了 s × s 的正方形像素块代替了原有的k个单个像素,然后消融图像的其余部分。

编辑

添加图片注释,不超过 140 字(可选)

这种方法的优势在于,利用块攻击的结构特征,使用块代替点,降低相交到对抗补丁的概率。

现定义f(X, s, x, y)是基础分类,对于每个类别c,fc(X, s, x, y)要么是0,要么是1;然而,请注意,我们并不要求fc(X, s, x, y)对任何类别c都=1(它可以弃权,对所有类别都返回0),而且我们也允许fc(X, s, x, y)对多个类别等于1。为了进行最终的分类并计算我们的稳健性证书,我们计算基础分类器返回每个类别的块数。

编辑

添加图片注释,不超过 140 字(可选)

得到基础分类器返回类别的次数最多的类后得到以下理论:

编辑切换为居中

添加图片注释,不超过 140 字(可选)

  • Band Smoothing: 作者选择宽度为 s 的单个像素带(一列或一行),并烧蚀图像的其余部分。

与块平滑相似,在本例中,基分类器是fc(x, s, x),其中s现在是保留像素列的宽度,x是该列最左侧边缘的位置。我们只需要对一个维度求和:

编辑

添加图片注释,不超过 140 字(可选)

同理得到以下理论:

编辑切换为居中

添加图片注释,不超过 140 字(可选)

那么显而易见,针对补丁攻击利用上述两种方法一定会得到比随机消融更精确的认证准确度。根据实验,发现波段法(特别是列平滑法)产生了最可靠的分类器,如下图所示:

编辑切换为居中

添加图片注释,不超过 140 字(可选)

面对不同大小的补丁,算法的认证精度展示:

编辑切换为居中

添加图片注释,不超过 140 字(可选)

【总结】

在这项工作中,我们提出了结构化消减,这是一种可证明的针对补丁攻击的稳健防御。我们的方法是对随机平滑的改编,在CIFAR-10上明显优于最先进的认证防御补丁攻击的方法,而且,与以前的方法不同,可以扩展到ImageNet。

本文基于稀疏随机消融并结合对抗补丁的结构特点提出了结构化消融,将认证防御有效的扩展到ImageNet上(虽然认证精度只有不到14%),但时间成本仍然比一般的分类器高十几个数量级,目前已经有人通过引入Vit进一步提高了模型效率和认证精度 https://arxiv.org/abs/2110.07719

Hosee0716
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Certified Adversarial Robustness via Randomized Smoothing
MTandHJ的博客
09-22 2206
文章目录概主要内容定理1代码 Cohen J., Rosenfeld E., Kolter J. Certified Adversarial Robustness via Randomized Smoothing. International Conference on Machine Learning (ICML), 2019. @article{cohen2019certified, title={Certified Adversarial Robustness via Randomized Smo
Data_Dependent_Randomized_Smoothing:这是“数据相关的随机平滑”工作的正式回购
03-28
数据相关的随机平滑 这是“数据相关的随机平滑”工作的正式回购 预印本: : 环境安装: 首先,您需要通过运行以下命令从提供的yml文件中安装环境: conda env create -f ddsmoothing.yml 然后,通过运行以下命令激活环境: conda activate ddsmoothing 重现我们的结果: 对于Cifar10结果,请通过运行cd CIFAR10导航到CIFAR10目录,并使用本文中提到的超参数运行相应的主文件。 对于ImageNet结果,应从相应纸张的原始存储库中下载预训练的权重。 另外,修改all_datasets.py作为ImageNet的保存路径。 使用依赖于数据的平滑来验证模型。 要使用依赖于数据的随机平滑来验证模型,我们使用repo ,其中将certify.py替换为certify_ds.py 。 是否想在新的RS培训框架中使
随机平滑认证对抗性鲁棒性的开源利器
最新发布
gitblog_00062的博客
05-08 273
随机平滑认证对抗性鲁棒性的开源利器 项目地址:https://gitcode.com/locuslab/smoothing 在这个数字化时代,深度学习模型的安全性和鲁棒性已经成为核心议题之一。而随机平滑认证这一开源项目提供了一种强大且可证明的对抗性防御策略,适用于L2范数下的大规模图像识别任务。 项目简介 该项目基于论文《通过随机平滑实现验证的对抗性鲁棒性》(Certified Adversari...
Segment and Complete: Defending Object Detectors against Adversarial Patch Attacks with Robust Patch
weixin_49171105的博客
08-24 431
在本文中,我们提出了分段和完整防御(SAC),这是一种通过检测和去除对抗性补丁来保护对象检测器免受补丁攻击的通用框架。我们首先训练一个补丁分割器,它输出补丁掩码,提供对抗补丁的像素级定位。然后,我们提出了一种自我对抗训练算法来增强补丁分割器的鲁棒性。此外,我们设计了一种鲁棒的形状完成算法,如果补丁分割器的输出在真实补丁掩码的一定汉明距离内,则保证从图像中删除整个补丁。
Note-Certified Adversarial Robustness via Randomized Smoothing
Bule-Zst的博客
09-01 1809
randomized smoothing 其实是一项技术,基于已有的分类器,然后获取决策,这种技术具有较强的鲁棒性,因为它是根据已有鲁棒性的分类概率做决策的。
通过随机平滑验证对抗鲁棒性
欢迎来到道的世界
09-03 2532
 当前很多研究工作提出了用于训练分类器的启发式算法,其目的是使分类器对对抗扰动具有一定鲁棒性。然而,这些启发式算法中的大多数算法缺乏相应的理论基础做支撑。随之而来出现了关于分类器可证鲁棒性的一系列理论研究工作,即在任何输入样本点的预测在围绕在该样本点的某个集合内是一个可验证的常数。在该文中,作者首次提供了随机平滑的严格鲁棒性保证证明,论文分析表明,使用高斯噪声进行平滑会在 ℓ2\ell_2ℓ2​范数下产生可证明的鲁棒性,而且论文中验证神经网络鲁棒性的方法可以扩展到像ImageNet等足够大的神经网络中。该论
Reference-Certified Adversarial Robustness via Randomized Smoothing
Bule-Zst的博客
08-27 1082
NULL
论文研究-Truthful Mechanisms for Randomized Rounding Approximation Schema.pdf
08-21
基于随机取整的近似算法的诚实机制,吴晶,卜天明,作为理论计算机领域近年来的一个研究热点,算法机制设计不仅要对所给问题给出一个有效的算法,而且还要防止理性的个体操控该问题
PatchMatch: A Randomized Correspondence Algorithm for Structural
12-15
PatchMatch: A Randomized Correspondence Algorithm for Structural Image Editing 原文
An Efficient Randomized Algorithm for Rumor Blocking in Online Social Networks
02-07
Therefore, once misinformation or rumor is detected,.a natural containment method is to introduce a positive cascade.competing against the rumor. Given a budget k, the rumor.blocking problem asks for...
Randomized Assignments for Barter Exchanges: Fairness vs. Efficiency
02-11
Randomized Assignments for Barter Exchanges: Fairness vs. Efficiency
mnist手写数字训练集
09-11
将mnist的数据集还原成图片形式,可以直观查看。 在使用TensorFlow或者keras中使用mnist时,并不能直观体验数据图片,这里做了一个图形还原
Randomized Fixed-Parameter Algorithms for the Closest String Problem
02-22
Randomized Fixed-Parameter Algorithms for the Closest String Problem
文献阅读--Certified Adversarial Robustness via Randomized Smoothing
热门推荐
学渣的博客
04-22 2万+
关键词:adversarially robust; Gaussian noise; L2-norm; randomization 这里写自定义目录标题1 概述2 背景2.1 研究现状3 挑战 1 概述 本文通过给分类器高斯噪声处理,使得新分类器对对抗攻击足够鲁棒。本文提出了“randomized smoothing” 技术并对其进行了严密的分析,进一步揭示了L2正则项和高斯噪声的联系:==我们使用该技术来训练ImageNet分类器,例如,在l2范数小于0.5(=127/255)的对抗扰动下,认证的最高准确度
对抗样本(论文解读十一):PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning
Enjoy_endless
05-08 1689
PatchAttack: A Black-box Texture-based Attack with Reinforcement Learning Chenglin Yang, Adam Kortylewski, Cihang Xie, Yinzhi Cao, and Alan Yuille Johns Hopkins University 通过强化学习实现一个基于纹理的黑盒攻击 这是一篇比较新的对抗块攻击的相关文章,发布于arxiv:2020.04.12, 头几天刚在组会上分享了相关论文,今天在这里简单分
论文笔记Patch-wise Attack for Fooling Deep Neural Network & Patch-wise++ Perturbation Targeted Attacks
WwwwHy搞的烂活
04-14 894
【ECCV2020】Patch-wise Attack for Fooling Deep Neural Network & Patch-wise++新版本Patch-wise++ Perturbation for Adversarial Targeted Attacks 目前的研究方向是对抗样本、投毒攻击等等,所以大部分的论文笔记都是对抗样本方向的(gradient、patch、风格迁移、GAN等),也希望自己能够坚持写下去,研究下去,做出一定的成果。 论文链接: Patch-wise Pat
一张贴纸欺骗AI,对抗性补丁让人类隐身
AcceptedLin的博客
04-24 4867
一张贴纸欺骗AI,对抗性补丁让人类隐身 Fooling automated surveillance cameras: adversarial patches to attack person detection 最新研究发现,只要一张打印出来的贴纸,就能“欺骗”AI系统,让最先进的检测系统也无法看到眼前活生生的人。该研...
文献记录(part68)--K- 近邻分类器鲁棒性验证:从约束放松法到随机平滑
小山羊的学习日志
04-09 294
学习笔记,仅供参考,有错必纠 关键词:监督学习 , 对抗机器学习 , 对抗鲁棒性 , 鲁棒性验证 , K- 近邻分类器 K- 近邻分类器鲁棒性验证:从约束放松法到随机平滑法 摘要 本文研究 K- 近邻分类器的鲁棒性验证问题 . 形式化鲁棒性验证的目标是计算分类器在给定样本点上的最小对抗扰动的精确值或者最小对抗扰动的非平凡下界 . 我们将计算 K- 近邻分类器的最小对抗扰动形式化为一组二次规划问题 . 二次规划问题的数目随近邻参数 K 的增大呈指数级增长 , 精确求解该组二次规划问题往往不可行 . 约束
随机优化与鲁棒性优化的区别
weixin_45624954的博客
06-11 1048
https://blog.csdn.net/weixin_43795921/article/details/104535640
详细说明一下PatchMatch: A Randomized Correspondence Algorithm for Structural Image Editing提到的算法的过程
06-11
PatchMatch是一种随机化的对应算法,用于结构化图像编辑。其主要思想是通过随机采样和迭代来寻找最佳匹配的图像块。PatchMatch算法的过程如下: 1. 初始化:对于每个像素位置,随机选择一个图像块,作为当前最佳...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值