《Towards Evaluating the Robustness of Neural Networks》文献阅读笔记

最新推荐文章于 2023-12-28 23:51:55 发布
最新推荐文章于 2023-12-28 23:51:55 发布
阅读量867 收藏 5
点赞数 1
分类专栏: 对抗样本学习 文章标签: 神经网络 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42242582/article/details/105959652
版权
这篇博文是博主对《Towards Evaluating the Robustness of Neural Networks》的阅读笔记,主要讨论CW攻击和蒸馏网络的防御。博主介绍了蒸馏网络的工作原理和蒸馏防御法的差异,以及CW attack在L0、L2、L∞范数上的应用。文章指出,CW攻击能有效穿透梯度遮蔽防御,可能源于神经网络的局部线性特性。最后,博主提出对CW攻击和蒸馏防御法优化的思考,并计划进一步研究对抗样本在图像检索领域的应用。
摘要由CSDN通过智能技术生成

本文关于《Towards Evaluating the Robustness of Neural Networks》,对于CW attack以及蒸馏网络有一定的讨论。(博主对于深度学习和对抗样本都还是新手,博文仅是做学习过程中笔记之用,望轻喷^ ^)

 

1. 《Towards Evaluating the Robustness of Neural Networks》

      上周简要学习了CW attack中作者对于对抗样本构造的数学模型,本周首先补充学习了CW attack所针对的蒸馏网络防御法,然后阅读了作者所实施的在L0、L2、L∞范数上的攻击效果及其评价。

 

        1.1 关于蒸馏网络(Distillation & Defensive Distillation)

        蒸馏网络本身是用于将一个很大的模型(the teacher)降低为一个很小的蒸馏后的模型。蒸馏网络通常会用常见的方法来训练出一个原始模型,然后将原始模型计算出soft label。此处的soft label可以解释为目标分类的软性结果,即该目标分类的结果概率分布在不同的类别之上。接下来再用soft label训练得到蒸馏后的模型。神经网络在得到最终的分类结果时,是通过softmax函数来计算其概率分布的,也是蒸馏网络的最后一层:

                          

最低0.47元/天 解锁文章
VnK_
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
论文那些事—Towards Evaluating the Robustnessof Neural Networks
shuweishuwei的博客
09-28 748
Towards Evaluating the Robustness of Neural Networks神经网络鲁棒性评价) 1、摘要及背景 2016年提出一中蒸馏网络的防御方法(梯度屏蔽),蒸馏网络的作者声称防御蒸馏能够击败现有的攻击算法,并且将他们的攻击成功率从95%降低到5%。这种防御方法通常用于任何前馈神经网络,只需要一个单独的训练步骤,就能够防御当前所存在的对抗样本。本文作者对防御性的蒸馏网络提出了挑战,设计出了一种基于优化的对抗攻击方法。 蒸馏网络(Distillation):“蝴蝶以.
[paper]Towards Evaluating the Robustness of Neural Networks(C&W)
weixin_43150428的博客
05-08 490
本文提出了针对Denfensive distillation这种防御措施的C&W算法(基于三种不同距离的对抗样本生成算法),同时也具有一定的迁移性。 本文把构建对抗样本的过程转化为一个最优化问题: 其中DDD是衡量原始图像与对抗样本之间的距离, 三种不同距离分别为L0L_{0}L0​范数L2L_{2}L2​范数和LL_{\infty }L范数。 但由于C(x+δ)=tC(x+δ)=tC(x+δ)=t这个问题很难直接求解,因此作者通过构造函数f(x,t)f(x,t)f(x,t) 使得在f(x,
[论文笔记]Towards Evaluating the Robustness of Neural Networks
weixin_45019830的博客
09-02 478
之前有人提出蒸馏网络,说是可以为目标网络模型提供很强的鲁棒性,能够把已出现的攻击的成功率从95%锐减到0.5%。作者提出了新的攻击方法,成功攻击了蒸馏网络。(c&w) 文章简介: 证明defensive distillation不能显著地提高模型的鲁棒性 介绍了3种新的攻击算法,可以在distilled和undistilled神经网络达到100%的攻击成功率 本文的攻击相比于以前的攻击通常会更有效 本文的对抗性例子可以从不安全的网络模型迁移到distilled(安全)的网络模型去 数据集:MNIS
[论文阅读笔记]Towards Evaluating the Robustness of Neural Networks(CW)
Invokar的博客
07-21 5718
Towards Evaluating the Robustness of Neural Networks(C&W)(2017 Best Student Paper) 文章简介: 证明defensive distillation不能显著地提高模型的鲁棒性 介绍了3种新的攻击算法,可以在distilled和undistilled神经网络达到100%的攻击成功率 本文的攻击相比于以前的攻击通常...
Towards Evaluating the Robustness of Neural Networks(翻译,侵删)
bash_winner的博客
02-19 1190
Towards Evaluating the Robustness of Neural Networks 面向评估神经网络的鲁棒性 论文地址 https://ieeexplore.ieee.org/abstract/document/7958570 摘要 深度网络对于大多数的机器学习任务提供了顶尖的结果。不幸的是,深度网络容易受到对抗样本攻击:给定一个输入xxx和任何类别ttt,有可能找到一个新的输入x′x^\primex′,与xxx相似但是分类为ttt。这使得在安全的领域应用神经网络变得困难。防御蒸馏时最
Towards Evaluating the Robustness of Neural Networks
B站搜索 馆主君晓 欢迎关注~
11-20 2640
这是一篇论文阅读笔记,论文原文:神经网络的鲁棒性评价 写在前面   本人在阅读这篇论文的时候也参考了别人的博文,参考博文的链接我会在文章最后的参考资料中列举出来,如有侵权请联系我删除。本文主要是对这篇论文的一些思想的理解,包括公式推导还有一些总结。除此之外发现原文在论文第6页中提出的7个目标函数中,第5个目标函数有错误,主要是对数里面的式子写反了,如果是仔细看的话是能够看出来的。原来的式子如下面的公式1所示,修改之后应该如公式2所示。在文中提到FFF就是经过了softmax输出的概率,那么FFF的取值范.
【论文回顾】Towards Evaluating the Robustness of Neural Networks
kynehc
01-11 719
paper notes: 1.this paper introduced three new attacks for L-0 L-2 L-infin distance metrics by defining different choices of objective function. Specifically, they are all based on the L-2 attack. 2...
对抗机器学习——Towards Evaluating the Robustness of Neural Networks
jmhIcoding
09-28 4816
论文代码: http://nicholas.carlini.com/code/nn_robust_attacks 论文motivation: 蒸馏网络说自己短小强撼,可以为目标网络模型提供很强的鲁棒性,号称自己能够把已经出现的攻击的成功率从95%锐减到0.5%。作者不信这个邪,于是基于L0,L2,L无穷范数提出三种新的攻击方法,尝试攻击蒸馏网络,而且还攻击成功了。而且作者认为,基于他们提出的三种攻...
Towards Evaluating the Robustness of Neural Networks详解
山里娃的博客
09-01 806
关于JSMA中选择像素对来进行修改的方法,作者做出了不一样的解释: 假设softmax层最小的输入为-100,那么softmax层的对于该输入的输出为0,即使增加了10,由-100变成了-90,仍然为0,显然这对输出没有什么影响。而如果softmax层最大的输入为10,将其更改为了0,显然这会使得输出产生巨大的变化。而JSMA的攻击方式并不会考虑从0到10和从-100到-90的不同,他是一视同仁的...
Paper笔记: 《Towards Evaluating the Robustness of Neural Networks》(CW攻击
weixin_37627840的博客
03-04 784
论文: https://arxiv.org/pdf/1608.04644.pdf?source=post_page 代码:https://github.com/Harry24k/CW-pytorch Motivation   又是一篇对抗攻击领域的基石之作,论文的思路主要针对当时最强的防御方法——防御性蒸馏。在当时,几乎所有的攻击方法都无法攻破防御性蒸馏,而本文的方法在面对防御性蒸馏时,取得了几乎100%的攻击成功率,这也再一次推动了对抗攻防算法的演进。 Contribution   作者提出了一种新的攻击
CW论文:Towards Evaluating the Robustness
哈哈哈哈哈哈
10-17 315
CW论文:Towards Evaluating the Robustness
Towards Evaluating the Robustness of Neural Networks论文分享(侵删)
最新发布
DTGshaodow的博客
12-28 928
那么,其他类别的logits值将会非常非常小,对应的梯度同样非常小,事实上,在大部分情况下,梯度小到32-bit的数据无法表示,只能取0。T意思是Temperature,就是一个在softmax操作前需要统一除以的小参数,这个小参数有这样的属性: 如果将T取1,这个公式就是softmax,根据logit输出各个类别的概率 如果T接近于0,则最大的值会越近1,其它值会接近0,近似于onehot编码 如果T越大,则输出的结果的分布越平缓,相当于平滑的一个作用,起到保留相似信息的作用。c使用二分类搜索进行选择。
Towards Evaluating the Robustness of Neural Networks论文解读集合
HappinessSourceL的博客
09-08 647
比较好一点的论文解读:https://lifengjun.xin/2020/03/14/%E3%80%90%E8%AE%BA%E6%96%87%E7%AC%94%E8%AE%B0%E3%80%91-Towards-Evaluating-the-Robustness-of-Neural-Networks/ 下面这个视频是作者本人的oral presentation ,讲的是论文思路,很不错。 https://www.bilibili.com/video/av884481653/ 首先是将生成对抗..
关于Towards evaluating the robustness of neural networks的理解
kearney1995的博客
04-11 4149
由于之前提出的防御性蒸馏实际上是一种"梯度遮蔽"的方法,作者也给出了防御性蒸馏有效性的解释,详见之前关于防御性蒸馏的文章,和那里面说的一样;不过关于jsma中选择像素对来进行修改的方法,作者做出了不一样的解释:   假设softmax层最小的输入为-100,那么softmax层的对于该输入的输出为0,即使增加了10,由-100变成了-90,仍然为0,显然这对输出没有什么影响。而如果softmax...
清华大学董胤蓬:Adversarial Robustness of Deep Learning
读芯术的博客
01-21 2158
不到现场,照样看最干货的学术报告!嗨,大家好。这里是学术报告专栏,读芯术小编不定期挑选并亲自跑会,为大家奉献科技领域最优秀的学术报告,为同学们记录报告干货,并想方设法搞到一手的PPT和现...
深究机器学习的软肋:难以防范的对抗攻击,让机器产生了幻觉
weixin_34195364的博客
03-14 384
本文来自AI新媒体量子位(QbitAI) 对抗范例(adversarial examples),是攻击者为了让机器学习模型产生错误而设计的输入数据,就像“机器产生了幻觉”。在这篇文章中,我们将展示对抗范例了如何通过不同媒介进行攻击,并讨论保护系统免受这种攻击难在何处。 在OpenAI,我们认为对抗范例是安全领域一个值得研究的方面,因为它们代表人工智能...
图像对抗样本研究总结
qq_39667860的博客
05-03 1986
1.名词解释 攻击方法 白盒攻击:需要完整的知道model的结构和对应的梯度等信息。 黑盒攻击:不需要完整的知道model的结构和对应的梯度等信息,只需要知道经过该模型的预测结果,用于作为评测的数据输入。 目标攻击:指将原始样本通过攻击后,指定攻击后的结果类别。 非目标攻击:指将原始样本通过攻击后,结果类别与原有的模型类别不同即可。 单步攻击:只需执行一次操作就可获得对抗样本。 迭代攻击:需要执行多步迭代操作才能获得样本。 一般,迭代攻击产生的对抗样本比单步攻击产生的对抗样本效果好,但需要更多的执行时间。
健壮性 Robustness
xiaoshengforever的专栏
11-04 2547
鲁棒是Robust的音译,也就是健壮和强壮的意思。它是在异常和危险情况下系统生存的关键。比如说,计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。所谓“鲁棒性”,是指控制系统在一定(结构,大小)的参数摄动下,维持其它某些性能的特性。根据对性能的不同定义,可分为稳定鲁棒性和性能鲁棒性。以闭环系统的鲁棒性作为目标设计得到的固定控制器称为鲁棒控制器。
towards deeper graph neural networks
08-12
最近,对于图神经网络的研究日益深入,引起了广泛关注。图神经网络是一种能够对图数据进行建模和分析的神经网络模型。它可以处理任意结构的图形数据,如社交网络、蛋白质互作网络等。 在过去的几年中,研究者们提出...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值