2022.6.19 第十一次周报

最新推荐文章于 2024-08-19 22:41:50 发布
最新推荐文章于 2024-08-19 22:41:50 发布
阅读量298 收藏 1
点赞数
文章标签: 机器学习 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43971717/article/details/125359933
版权

目录

一、How to Attack

1.Example of Attack

2.How to Attack(White Box Attack)

3.Non-perceivable

4.Attack Approach

Gradient Descent

Fast Gradient Sign Method (FGSM)

Iterative FGSM

5.White Box v.s. Black Box

6.Black Box Attack

7.Attack in the Physical World

攻击人脸识别系统

攻击路牌识别系统

8."Backdoor" in Model

二、Defense

1.被动防御 Passive Defense

smoothing

compression

generator

 Passive Defense-Randomization

2.主动防御 Proactive Defense

 

一、How to Attack

1.Example of Attack

下面以图像分类为例。benign image 表示未经修改的原图像,识别结果为 tiger cat。攻击的目的就是给 benign image 加上一个小噪声,使得分类器输出的类别不为 “猫”。

 

而攻击类型也可以分为 Non-targeted 和 Targeted 两种。

Non-targeted: 让分类器输出任何非 “猫” 的类别。

Targeted: 让分类器输出指定的非 “猫” 类别 。

32d4faa3eb69462dbeec10f9795b914d.png

下图中,加入的噪声甚至是人眼不可分辨的,分类器对 Benign image 进行分类时 Tiger Cat 的置信度都只有 0.64,但对 Acttacked Image 进行分类时 Star Fish 的置信度却达到了 1.00。

46d8e469972d404db072ee43bd138c70.png

 

2.How to Attack(White Box Attack)

Non-targeted: x0为 benign image,x 为 attacked image,在固定网络参数的情况下,我们想要使分类器输出的概率分布尽量远离 cat 的概率分布。进而得到如下的优化目标 gif.latex?d%28x0%2Cx%29%5Cleq%20%5Cvarepsilon,保证了加入的 noise 不会被人眼察觉。

Targeted: 相比 Non-targeted,在优化目标中增加了一项,使得 attacked image 对应的概率分布尽量接近目标类别的概率分布。

05e1f6675b9f445da05318479f3c3f2a.png

 

3.Non-perceivable

攻击的时候有一个小细节,即被攻击的图像不能被人眼给很容易就察觉出来。说白了就是像素值的变化程度不能超过某个阈值,那么有两种具体的控制思路,一个是使用二范数控制图像整体的变动,一个是使用无穷范数控制像素的最大变动。

那么我们应该如何表示 d 来使得人眼无法感知到我们加入的 noise 呢?下图对比了 L2 norm 和

L-infinity norm,发现使用 L-infinity norm 更加合理。

41a34113da5e4660bcd0540f8ce17f2c.png

 

4.Attack Approach

Gradient Descent

那么,我们来看一下train过程
和以前train的过程一样,只不过这次是update输入,通过调整updata,来求解L(x)最小值
在这里,我们还有一个约束,那就是x0与x的距离。

我们可以这样处理,当发现x0与xT的距离超出gif.latex?%5Cvarepsilon后,
我们寻找在x0范围内,最靠近xT的那个新的x。
 

462e38d914b144beabbff5151b740313.png

 

Fast Gradient Sign Method (FGSM)

接下来,我们介绍一个最简单的attack method 它的大概思路就是,我们要一击必中,看左下角那个式子,我们一次性就可以到达四边形的四个角落中。

d8cc9e689e2946ed94474500e9b69b10.png

 

Iterative FGSM

当然,我们也可以多跑几个,但是容易出现跑出四边形的范围,可以利用前面的方法把它拽回来。

17b04744ab64425a9b77efe10944f45d.png

 

5.White Box v.s. Black Box

在之前的攻击中,我们知道网络参数θ
这称为白盒攻击。
您无法在大多数在线 API 中获取模型参数。
如果我们不发布模型,我们是否安全?
不,因为黑匣子攻击是可能的。

c7f97098def24e58b396b07822f8efe4.png

6.Black Box Attack

black box attack:不知道model参数是什么
我们可以通过同一组训练集来训练一个network proxy,来模拟network black
从而通过攻击network proxy观察,就可以来攻击network black。但是我们如果完全没有训练资料怎么办呢?
可以把一堆图片丢到NN中,得到输出的图片,把输入和输出图片丢到network proxy来训练出一个模型
53f5a702c8fc4f0086f498a4c06dce62.png

7.Attack in the Physical World

攻击人脸识别系统

攻击时的注意点:

攻击者需要找到超越单个图像的扰动。扰动中相邻像素之间的极端差异不太可能被相机准确捕获。需要制作主要由打印机可再现的颜色组成的扰动。
cc5996e422e64701b9164c35dd5e5d60.png

攻击路牌识别系统

93f7be2b0d29403f977dfd6708b28265.png

8."Backdoor" in Model

到目前为止,我们的attack都是在测试的阶段展开,那有没有可能在训练的时候就进行attack呢? 我们可能在训练过程中加入一张dog的照片,然后测试的时候就有可能把下面那张图片输出成dog。

1b8d5478b19043628a16b2377b6ff29e.png

 

二、Defense

1.被动防御 Passive Defense

防御的话有些思路是十分直观的。例如,前面提到的攻击都是对图像进行一定的扰动,那么我们可以在将图片输入网络前先进行一些预处理,这样就可以消掉图像中的恶意信息。这么做有两个问题。首先就是由于训练的时候是没有这些“数据增强”的,因此会对模型的性能造成影响;第二就是如果这些防御措施也泄露了的话,那么攻击者可以直接把这些预处理步骤视为网络的一部分一起攻击。

smoothing

2b28cf71373b45fcbeed767311311c01.png

 

compression

9615fd495ec34f47962f36f0619413d5.png

 

generator

02b53b9aa8c647cf80e877fbe33a7565.png

 Passive Defense-Randomization

一种更强大的方法-randomization:自己都不知道图片接下来做什么样的处理。

如果攻击者知道了 passive defense 的防御手段并且将 filter 当作模型的第一层加以攻击的话,passive defense 就失效了。因此,我们可以随机采用不同的 passive defense 的防御方法。
 

27cb85718e4542a28359e7d2ba1b3a27.png

 

2.主动防御 Proactive Defense

那肯定还有proactive defense(一开始就训练一个不容易被attack的模型)
我们先训练好一个model,训练阶段对模型进行attack,可能会发生分类错误。
然后重新进行正确的分类来进一步update model。
最后得到一个不容易被attack的model。可是这也会容易被新的algorithm攻破,可见adversarial training还是有缺陷的。

b770a68db9ae4ac684d4e32d5e225b09.png

 

 

孙源峰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十月第二次周报.pdf
10-15
十月第二次周报周报中主要涉及到 Vue.js 框架的使用,包括过滤器、v-else 指令和计算属性 computed 等知识点。 一、过滤器 过滤器是 Vue.js 中的一种功能,它可以对数据进行格式化和处理。在本周报中,我们...
建材周报2019年第19期.pdf
08-25
建材周报2019年第19期.pdf
对抗攻击(Adversarial Attack)
热门推荐
ji_meng的博客
04-22 1万+
对抗攻击
李宏毅机器学习笔记第16周_来自人类的恶意攻击(Adversarial Attack)
peaunt1的博客
07-31 656
Adversarial Attack
Adversarial Attack (对抗攻击)
连理o的博客
09-19 5073
本文为李宏毅 2021 ML 课程的笔记 目录Basic ConceptsMotivationHow to Attack Basic Concepts Motivation Are networks robust to the inputs that are built to fool them? Useful for spam classification, malware detection, network intrusion detection, etc. How to Attack .
机器学习笔记—8(李宏毅版)
weixin_43567886的博客
06-02 139
如何面对来自人类的恶意攻击 在一个图片向量(benign image)上,每个维度加上一个很小的杂讯(attack image)后丢入network中进行训练 加入杂讯后的判断结果 无目标攻击:猫+杂讯=其他任何东西 有目标攻击:猫+杂讯=海星 人类看不出添加杂讯的影响,但是对于机器来说却造成了完全的判断错误。 How to attack targeted L(x)=-e(y,y.hat)+e(y,y.target),结果应当接近海星而远离猫。 L2-norm 修改每个像素一点点 L-infinity 修改
Adversarial Attack
baibaidoudou的博客
08-08 146
Adversarial Attack
2022.11.13 第三十次周报
weixin_43971717的博客
11-13 1634
本周阅读了一篇基于区块链的一个可互操作的区块链平台的论文。用区块链代替云计算,用于确保智慧城市中的物联网数据完整性。在深度学习上,学习了VGG网络模型和ResNets模型,以及复现简单的代码。在CNN的学习中,掌握了简单的手写数字识别。对于CNN基础网络框架有了系统的认识。除此之外,对于CNN的变形模型,例如AlexNets,VGGNets,ResNets等展开研究。下周开始就进入RNN的系统学习。
2023.2.19 第四十一次周报
weixin_43971717的博客
02-19 590
本周学习了一篇文章,该文通过对RNN、LSTM、GRU和时间序列预测的研究,提出了一种新的门控单元。NGCU的提议主要用于时间序列数据预测。与传统RNN相比,NGCU大大缓解了长期数据依赖导致的梯度消失和爆炸问题。除此之外,在机器学习方面,学习了元胞自动机的相关内容。下周我们将继续学习机器学习的相关内容。除此之外,将深层次的研究时序问题。
2022.9.19-9.25 AI行业周刊(第116期):告别
江南研习社
09-27 685
篇章一:告别 周报8点发布出来的时候,刚刚参加完外公的追悼会,年龄止于98岁。 去年年初外婆去世后,我们都很担心外公的身体状态,但最终还是走到了最后的一刻。 外公外婆的爱,记忆中,是一种没有任何要求的爱。 每次到外公家,都会从柜子里找出很多好吃的,不顾劝说,塞在我的手里。看着吃完,才会露出满意的微笑。 上大学时,每次离家前到外公家,也都会拿出几百元,塞在你的口袋里,叮嘱一定要多买点零食,不要担心没钱用,缺钱就和他说。 母亲这一辈,是兄妹5人,所以我们亲戚人数很多。不过过年时,必做的事情,就是一大帮人聚到外公
化工周报:6月第3周.pdf
08-21
化工周报:6月第3周.pdf
化工周报-6月第4周.pdf
08-21
化工周报-6月第4周.pdf
金融市场与金融产品周报19期.rar
09-11
金融市场与金融产品周报19期.rar
机器学习第十四章-概率图模型
最新发布
wastec的博客
08-19 800
14.1隐马尔可夫模型14.1隐马尔可夫模型概率围棋型是一类用图来表达变量相关关系的概率模型.它以图为表示工具,最常见的是用一个结点表示一个或一组随机变量,结点之间的边表示变量间的概率相关关系,即"变量关系图”。隐马尔可夫模型是结构最筒单的动态贝叶斯网,这是一种著名的有向图模型,主要用于时序数据建模,在语音识别、自然语言处理等领域有广泛应用。
四十一、【人工智能】【机器学习】- Bayesian Logistic Regression算法模型
技术分享、程序员趣事、行业趋势等内容!
08-19 911
监督学习(Supervised Learning)是机器学习中的一种主要方法,其核心思想是通过已知的输入-输出对(即带有标签的数据集)来训练模型,从而使模型能够泛化到未见的新数据上,做出正确的预测或分类。在监督学习过程中,算法“学习”的依据是这些已标记的例子,目标是找到输入特征与预期输出之间的映射关系。Bayesian Logistic Regression是一种统计建模方法,它结合了Logistic回归的原理和贝叶斯统计的框架。
机器学习】YOLO 关闭控制台推理日志
AlanWang4523
08-19 262
YOLO 不改源码关闭控制台推理日志,YOLOV8 关闭日志,YOLO 禁止输出日志
【人工智能】Python融合机器学习深度学习和微服务的创新之路
2302_80269373的博客
08-19 8731
本文探讨了AI技术的发展历程、创新应用和微服务架构的作用。技术进步:AI技术在算法和应用方面的显著进展。微服务架构:提高了AI系统的灵活性和可扩展性。挑战与展望:数据隐私、伦理和未来技术趋势的挑战和机遇。
基于Python的二手车爬虫及价格预测可视化研究【多种机器学习对比研究】
迷茫与徘徊只会让你陷入绝境,欢迎私信博主,带你开始提升变现价值!
08-19 1374
首先,我们通过编写Python爬虫程序,从在线二手车交易平台抓取了包括车辆品牌、型号、年份、行驶里程、所在城市等在内的2万多条二手车数据。接下来,在数据预处理阶段,我们对数据进行了清洗、去重和异常值处理,确保了分析的准确性和可靠性。在数据分析和可视化阶段,我们采用了Pandas和Matplotlib库,对二手车的价格、品牌、行驶里程等关键指标进行了深入分析,并通过直观的图表展示了不同因素对二手车价格的影响。 进一步地,本研究采用了多种机器学习算法构建二手车价格预测模型,包括线性回归、多层感知机、支持向量机和
编写一份CAD工程师第十五周周报
03-10
你好,以下是我的回答: 本周工作总结: 1. 完成了客户提出的CAD图纸修改需求,并进行了测试和验收。 2. 参与了公司内部的CAD培训课程,学习了新的CAD技术和工具。 3. 协助同事解决了一些CAD软件使用中的问题。 4. 参与了公司的项目评审会议,就CAD设计方案进行了讨论和交流。 5. 继续学习了相关的CAD标准和规范,以提高自己的工作质量。 下周工作计划: 1. 继续完成客户的CAD图纸修改需求,并进行测试和验收。 2. 学习并掌握更多的CAD技术和工具,以提高自己的工作效率。 3. 协助同事解决更多的CAD软件使用中的问题。 4. 参与公司的项目评审会议,为CAD设计方案提供更多的建议和意见。 5. 持续学习和遵守相关的CAD标准和规范,以确保自己的工作质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值