[paper]AdvJND:Generating Adversarial Examples with Just Noticeable Difference

最新推荐文章于 2021-06-10 16:02:17 发布
最新推荐文章于 2021-06-10 16:02:17 发布
阅读量432 收藏 3
点赞数 1
分类专栏: AEs 文章标签: 机器学习 深度学习 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43150428/article/details/105944519
版权
AdvJND方法在保持高攻击成功率的同时,通过结合视觉模型系数(JND)来提升对抗样本的图像保真度。该算法考虑了人类视觉系统的局限,隐藏噪声并改善了对抗样本的隐蔽性。与传统方法相比,AdvJND在效率和图像质量方面表现更优,特别是在处理复杂图像纹理区域时。
摘要由CSDN通过智能技术生成

生成对抗样本有两个要求:攻击成功率和图像保真度指标。 增加扰动可以确保对抗样本的攻击成功率很高; 但是生成的对抗样本隐蔽性很差。 为了在攻击成功率和图像保真度之间取折衷,提出了一种名为AdvJND的方法,该方法在生成对抗样本时在失真函数的约束下添加了视觉模型系数,该系数用来衡量视觉上的差异。AdvJND算法生成的对抗样本产生的梯度分布与原始输入相似。该方法可以认为是一种辅助生成方法,用来改善生成算法成功率较高但图像保真度不足的问题。

生成对抗样本的问题可以看成是一个优化问题:
在这里插入图片描述
JND系数可以隐藏高斯噪声,因为JND系数大的区域是具有复杂图像纹理的区域。 此外,我们的HVS(human visual system)很难注意到这些区域中的变化,这些变化也被称为人眼的视觉盲点。 JND系数越大,阈值越高,冗余度越大,人眼的灵敏度越小,就可以掩盖更多的噪声。因此,JND系数较大的区域中的扰动不太可能被检测到。

本文有以下贡献:

  1. 第一个整合JND系数以生成对抗样本。 将人眼的视觉主观感觉作为约束中的先验信息来确定扰动的分布,并生成具有类似于原始输入的梯度分布的对抗样本。 因此,可以将原始噪声隐藏在原始输入中,从而显著改善了攻击效果。
  2. 算法的图像质量和攻击成功率接近时,使用 AdvJND 算法生成对抗样本所花费的时间比使用 L 2 L_{2} L
最低0.47元/天 解锁文章
ch1762
关注
专栏目录
图像质量评估系统的Matlab GUIDE实现(四)——相关算法
Type真是太帅了
07-16 2494
系统的大体流程和介绍在(一)~(三)中大致介绍完了。 该系统采用的方法主要有两种,一种是全参考(RF),另一种是无参考(NF) 贴出的算法代码是用于系统调用的返回值版: 一、全参考(RF) RF中主要包括了MSE\PSNR\JND\PDM\SSIM\SIExt\QILV\VIF几个算法,在这里就不逐个介绍了。 (1)MSE(Mean Square Error)均方误差 该算法直接比较得...
Generating Adversarial Examples with Adversarial Networks 采用GAN的方法来生成对抗样本
weixin_39389001的博客
11-20 1843
AdvGAN 论文地址:https://arxiv.org/abs/1801.02610 论文的内容:采用GAN的方式来生成对抗样本 啥是对抗样本 对抗样本:adversarial examples 就是在真实样本的基础上加上一点点扰动,通常人眼无法察觉,但机器学习分类算法却会误判为其他类别~~ eg:大熊猫 + 很小的扰动量 ----结果判决成了长臂猿 最右边的图就是对抗样本。人眼看上去还是大熊...
基于人类视觉系统的评价方法--Just Noticeable DifferenceJND
gflytu的专栏
09-04 1万+
人类观看图像依赖于人眼对于图像信息的捕获以及大脑对于图像信息的分析整合,对图像质量的判断受到多种因素的影响,将这些因素分别提取再进行综合就能用于图像质量评价[48, 49]。人眼视觉系统(Human Visual System, HVS)结构复杂,目前对于HVS尚无一个全面的理论认识。但生理学及心理学实验在此方面的研究己经取得了一系列的发现。研究比较成熟透彻的人眼视觉特性包括亮度幅度非线性特
最小可觉察误差(JND)与图像压缩
热门推荐
爱破破爱科研
01-02 2万+
 1. JND算法背景/意义 1算法的概述 最小可觉察误差(JND, Just Noticeable Distortion)用于表示人眼不能察觉的最大图像失真,体现了人眼对图像改变的容忍度。在图像处理领域,JND 可以用来度量人眼对图像中不同区域失真的敏感性。目前已有多个 JND 模型被提出,这些 JND 模型主要可以分为 2 类:基于像素域的 JND模型和基于变换域的 JND 模型。 像素域...
VideoClarity<ClearView>视频质量分析系统
视频质量测试mazhitong1227的博客
08-02 2453
ClearView 视频质量分析系统是美国专业的音视频测试方案提供商                 中国销售、视频测试方案、视频质量测试知识、更多信息咨询3040963362 ClearView用于实时或离线采集、输出以及分析、测试完全未压缩的数字音视频质量,实现视音频编解码器、视音频处理板卡以及诸如地面电视、有线电视、卫星电视、IPTV、机顶盒等数字电视传输服务的图像质量评
综合评价模型的缺点_视频/图像质量评价综述(一)
weixin_39988164的博客
11-21 777
1. 概述视频/图像质量评价(Video/Image Quality Assessment)是指通过主客观的方式对两幅主体内容相同的图像信息的变化与失真进行感知、衡量与评价。视频/图像质量评价包括视频/图像的逼真度与可懂度,逼真度是指被评价图像与标准图像的偏离程度,可懂度是指表示图像能向人或计算机提供信息的能力。评价方法分为主观评价方法和客观评价方法两种。主观评分一般是平均主观得分(mean op...
Training Neural Networks: Q&A with Ian Goodfellow, Google
weixin_34261739的博客
09-05 92
Training Neural Networks: Q&amp;A with Ian Goodfellow, Google Neural networks require considerable time and computational firepower to train. Previously, researchers believed that neural networks wer...
NLP之GPT-3:《 Language Models are Few-Shot Learners》的翻译与解读
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
07-29 1万+
​ NLP之GPT-3:《 Language Models are Few-Shot Learners》的翻译与解读 目录 相关文章 《GPT-3: Language Models are Few-Shot Learners》的翻译与解读 Abstract 摘要 1 Introduction 介绍 2 Approach方法 3 Results 结果 4 Measuring and Preventing Memorization Of Ben
advGAN_pytorch:论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现
05-31
论文“Generating Adversarial Examples with Adversarial Networks” (advGAN) 的 Pytorch 实现。 训练目标模型 python3 train_target_model.py 训练 advGAN python3 main.py 测试对抗样本 python3 test_...
PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving
sinat_36059653的博客
04-21 476
PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving 本文收录于CVPR 2020 文章目录PhysGAN: Generating Physical-World-Resilient Adversarial Examples for Autonomous Driving背景以前的攻击方式physGAN流程1、输入2、符号定义3、详细流程4、损失函数定义实验总结 本文针对在现实场景中针对自
论文阅读笔记:GENERATING NATURAL ADVERSARIAL EXAMPLES
qq_36356761的博客
04-18 3099
论文阅读笔记:GENERATING NATURAL ADVERSARIAL EXAMPLES 本文发表在ICLR2018上 问题 传统对抗样本是unnatural的,在真实数据中几乎不存在 contribution 提出了一种生成更natural, legible的对抗样本的方法,这种方法可以用来衡量模型的鲁棒性 方法 1、利用WGAN和(无标注)真实数据X训练一个生成器...
阅读笔记:图像相似性评估方法LPIPS
full_adder的博客
06-10 7707
论文:The Unreasonable Effectiveness of Deep Features as a Perceptual Metric 连接:https://arxiv.org/pdf/1801.03924.pdf 代码:https://www.github.com/richzhang/PerceptualSimilarity 背景: 传统像素级评估图像相似度的方法,很多时候非常的反直觉,如上图所示,判断左右两张图哪一张与中间更相似,指标的结果与人类完全相反,网络倒是通常都能得出一致结论,因.
[advGAN]Generating Adversarial Examples With Adversarial Networks
qq_37162983的博客
04-02 5538
这周读论文。。读的是这篇反正。这个内容比较新,网上也没啥有特别有价值的参考内容,把学习笔记发上来,希望能有一点点帮助嗯似乎是提出了用GAN以解决神经网络安全性的问题。。。白盒攻击攻击者能够获知机器学习所使用的算法,以及算法所使用的参数。攻击者在产生对抗性攻击数据的过程中能够与机器学习的系统有所交互。黑盒攻击攻击者并不知道机器学习所使用的算法和参数,但攻击者仍能与机器学习的系统有所交互.比如可以通过...
[paper]Feature Squeezing: Detecting Adversarial Examples in Deep Neural Networks
weixin_43150428的博客
05-17 2322
本文提出了两种特征压缩方法: 减少每个像素的颜色位深度 使用空间平滑来减少各个像素之间的差异 特征压缩通过将与原始空间中许多不同特征向量相对应的样本合并为单个样本,从而减少了对手可用的搜索空间。通过将DNN模型对原始输入的预测与对压缩输入的预测进行比较,特征压缩可以很好的检测出对抗样本。本方法对于计算资源要求不高,可以与其他防御措施互补,并且可以结合联合检测框架使用。 Our approach, which we call feature squeezing, is driven by the obs
[paper]Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser
weixin_43150428的博客
05-14 2218
本文提出了一种防御方法,即由高级特征主导的去噪器 high-level representation guided denoiser(HGD)。 标准去噪器具有误差放大效应,在这种效应中,较小的残留对抗噪声影响会逐渐放大,最终导致错误的分类。HGD通过将损失函数定义为由干净图像和去噪图像激活的目标模型输出之间的差值解决了这个问题。 HGD具有三个优点: HGD可以使目标模型面对对抗攻击更加鲁棒 HGD具有较好的泛化性 HGD效率更高(需要更少的训练数据和训练时间) 由于对抗样本使在原始图像添加特定的扰
[paper]IMPROVING ADVERSARIAL ROBUSTNESS REQUIRES REVISITING MISCLASSIFIED EXAMPLES
weixin_43150428的博客
06-13 1257
对抗训练是当前最有效的防御措施,经常被公式化为最小-最大优化问题。 where n is the number of training examples and lll(·) is the classification loss, such as the commonly used cross-entropy (CE) loss.Recently, adversarial training with adversarial examplesgeneratedbyProjectedGradientDesce
[paper]ADVERSARIAL MACHINE LEARNING AT SCALE
weixin_43150428的博客
05-14 985
本文的贡献包括: (1)如何将对抗训练扩展到大型模型和数据集; (2)对抗训练赋予单步攻击算法鲁棒性的原理; (3)发现多步攻击算法的可移植性相比单步攻击算法要差一些,因此单步攻击算法最适合于发动黑盒攻击。 (4)对于“标签泄漏”效应的解决方法。 “标签泄漏”效应即经过对抗训练的模型在对抗样本上的性能要比在原始样本上更好,因为对抗样本生成过程中使用真实标签,并且模型可以学习对抗样本生成过程中的规律性。 在结构相同的情况下,模型能力越强(即参数数量越多)的模型对对抗样本的鲁棒性越好。 不同类型的对抗样本在模
[paper]Adversarial Transformation Networks: Learning to Generate Adversarial Examples
weixin_43150428的博客
05-06 927
本文提出了ATN(Adversarial Transformation Network)方法来生成对抗样本。之前的许多方法都是利用梯度信息进行攻击,本文通过训练一个神经网络,将原图作为输入,输出为对抗样本。在给定原始输入的情况下,对分类器的输出进行最小的修改,同时限制新分类以匹配对抗目标类。 ATN神经网络可以被定义为: θ\thetaθ是神经网络的参数 fff是目标网络 优化问题为: LxL...
music transformer: generating music with long-term structure
最新发布
09-13
音乐转换器是一种能够生成具有长期结构的音乐的技术。传统上,音乐生成模型主要依赖于自回归模型,即根据前面的音符预测下一个音符。这种方法很难捕捉到音乐的长期结构,因为它只关注于当前音符与前面音符的关系。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值