论文笔记--DeepFool: a simple and accurate method to fool deep neural networks

最新推荐文章于 2023-11-13 20:06:30 发布
最新推荐文章于 2023-11-13 20:06:30 发布
阅读量1.5k 收藏 8
点赞数 1
分类专栏: 对抗样本 文章标签: deepfool
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44105459/article/details/103143943
版权

论文原文:DeepFool: a simple and accurate method to fool deep neural networks arXiv:1511.04599 [cs.LG]

思路

deepfool提出两种产生对抗样本的算法,二分类和多分类情况。并实验比较EOT、FGSM和deepfool三种算法的鲁棒性。

1、二分类器

在这里插入图片描述

  • 符号函数k^(x) = sign(f(x)) 其中 f(x) = wx + b。对样本添加扰动使得样本分类到距离最近的类。
  • r:样本到分类边界的最短距离*法线方向的单位向量

2、多分类器

在这里插入图片描述在这里插入图片描述

  • k^(x)= fk(x),fk(x) 是向量f(x)的第k个维度,即第k个子分类器。
  • 计算样本到各个类的最小距离,取最近的一类,L为距离超平面最近的一类。

3、评估鲁棒性

通过扰动所占样本的比值来评估鲁棒性。下表为deepfool,EOT,FGSM三种算法的鲁棒性和运行时间对比
在这里插入图片描述
在这里插入图片描述
4、论文复现-多分类结果:

  • Evaluating on clean data
    loss: 0.0294 acc: 0.9900
  • Evaluating on adversarial data
    loss: 1.6897 acc: 0.1145
def _deepfool2(model, x, epochs, eta, clip_min, clip_max, min_prob):
    """DeepFool二分类情况
    干净样本和对抗样本输出: +1/-1
    """
    y0 = tf.stop_gradient(tf.reshape(model(x), [-1])[0])
    y0 = tf.to_int32(tf.greater(y0, 0.0))
    def _cond(i, z):
        xadv = tf.clip_by_value(x + z*(1+eta), clip_min, clip_max)
        y = tf.stop_gradient(tf.reshape(model(xadv), [-1])[0])
        y = tf.to_int32(tf.greater(y, 0.0))
        return tf.logical_and(tf.less(i, epochs), tf.equal(y0, y))
    def _body(i, z):
        xadv = tf.clip_by_value(x + z*(1+eta), clip_min, clip_max)
        y = tf.reshape(model(xadv), [-1])[0]
        g = tf.gradients(y, xadv)[0]
        dx = - y * g / (tf.norm(g) + 1e-10)  # 1范数:norm(1)
        return i+1, z+dx

    _, noise = tf.while_loop(_cond, _body, [0, tf.zeros_like(x)],
                             name='_deepfool2', back_prop=False)
    return noise

def _deepfoolx(model, x, epochs, eta, clip_min, clip_max, min_prob):
    """DeepFool多分类情况.
    分类到最大概率的标签.
    """
    y0 = tf.stop_gradient(model(x))
    y0 = tf.reshape(y0, [-1])
    k0 = tf.argmax(y0)
    ydim = y0.get_shape().as_list()[0]
    xdim = x.get_shape().as_list()[1:]
    xflat = _prod(xdim)
    def _cond(i, z):
        xadv = tf.clip_by_value(x + z*(1+eta), clip_min, clip_max)
        y = tf.reshape(model(xadv), [-1])
        p = tf.reduce_max(y)
        k = tf.argmax(y)
        return tf.logical_and(tf.less(i, epochs),
                              tf.logical_or(tf.equal(k0, k),
                                            tf.less(p, min_prob)))
    def _body(i, z):
        xadv = tf.clip_by_value(x + z*(1+eta), clip_min, clip_max)
        y = tf.reshape(model(xadv), [-1])
        gs = [tf.reshape(tf.gradients(y[i], xadv)[0], [-1])
              for i in range(ydim)]
        g = tf.stack(gs, axis=0)

        yk, yo = y[k0], tf.concat((y[:k0], y[(k0+1):]), axis=0)
        gk, go = g[k0], tf.concat((g[:k0], g[(k0+1):]), axis=0)

        yo.set_shape(ydim - 1)
        go.set_shape([ydim - 1, xflat])

        a = tf.abs(yo - yk)
        b = go - gk
        c = tf.norm(b, axis=1)
        score = a / c
        ind = tf.argmin(score)

        si, bi = score[ind], b[ind]
        dx = si * bi
        dx = tf.reshape(dx, [-1] + xdim)
        return i+1, z+dx

    _, noise = tf.while_loop(_cond, _body, [0, tf.zeros_like(x)],
                             name='_deepfoolx', back_prop=False)
    return noise
前端小窝
关注
专栏目录
阅读笔记 DeepFool: a simple and accurate method to fool deep neural networks
weixin_39929275的博客
09-01 573
阅读笔记 DeepFool: a simple and accurate method to fool deep neural networksAbstractIntroductionDeepFool for binary classifiersDeepFool for multiclass classifiersAffine multiclass classifierGeneral classifierExtension to lpl_plp​ norm Abstract 提出Deep Fool 算法
论文那些事—DeepFool: a simple and accurate method to fool deep neural networks
shuweishuwei的博客
10-08 738
Elastic-Net Attacks to Deep Neural Networks via Adversarial Examples(通过对抗样本对深层神经网络的弹性网络攻击) 1、摘要及背景
[论文阅读笔记]DeepFool: a simple and accurate method to fool deep neural networks
Invokar的博客
07-21 4969
DeepFool: a simple and accurate method to fool deep neural networks(2016 CVPR) 文章简介: 本文为Adversary Attack方向的一篇经典论文。算法名为DeepFool,其目标是寻求最小的扰动来达到生成对抗样本的目标。下图第2行为DeepFool算法生成的扰动,第3行为FGSM算法生成的扰动。可以看到当生成的tar...
[paper]DeepFool: a simple and accurate method to fool deep neural networks
weixin_43150428的博客
05-09 512
本文目标是寻求最小的扰动来达到生成对抗样本的目标,因此提出了DeepFool的算法来生成扰动,并且提出了一种量化分类器鲁棒性的方法。 这是第一个通过计算出最小的必要扰动,并应用到对抗样本构建的方法,使用的限制扰动规模的方法是L2范数。最终得到的对抗样本效果要优于前面的FGSM和JSMA方法,但是这三者都需要比较大的计算资源。 根据样本xxx,标签 k^(x)\hat{k}(x)k^(x): 可以称Δ(x,k^)\Delta (x,\hat{k})Δ(x,k^)为k^\hat{k}k^在点xxx上的鲁棒性。
DeepFool: a simple and accurate method to fool deep neural networks
MTandHJ的博客
05-07 732
文章目录概主要内容二分类模型fff为线性fff为一般二分类多分类问题fff仿射fff为一般多分类lpl_plp​ Moosavidezfooli S, Fawzi A, Frossard P, et al. DeepFool: A Simple and Accurate Method to Fool Deep Neural Networks[C]. computer vision and pat...
DeepFool论文翻译---DeepFool: a simple and accurate method to fool deep neural networks
哈哈哈哈哈哈
10-11 1116
最先进的深度神经网络在许多图像分类任务中取得了令人印象深刻的结果。然而,这些相同的架构已经被证明对于较小的、广受欢迎的图像扰动是不稳定的。尽管这一现象很重要,但还没有提出有效的方法来准确计算最先进的深度分类器对大规模数据集上此类扰动的鲁棒性。本文中,我们填补了这一空白,并提出了DeepFool算法,以有效计算欺骗深度网络的扰动,从而可靠地量化这些分类器的鲁棒性。大量实验结果表明,我们的方法在计算对抗扰动和使分类器更健壮的任务上优于最近的方法。
DeepFool: a simple and accurate method to fool deep neural networks.pdf
03-25
根据提供的文件信息,这篇论文的标题是"DeepFool: a simple and accurate method to fool deep neural networks.pdf",描述是"DeepFool: a simple and accurate method to fool deep neural networks.pdf",标签是...
经典对抗攻击Deepfool原理详解与代码解读
热门推荐
Paper weekly
08-17 1万+
©PaperWeekly 原创 · 作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:DeepFool: a simple and accurate...
DeepFool: a simple and accurate method to fool deep neural networks(2016 CVPR)
最新发布
weixin_43856668的博客
11-13 317
最先进的深度神经网络已经在许多图像分类任务上取得了令人印象深刻的结果。然而,这些相同的架构已被证明对于图像的小而良好的扰动是不稳定的。尽管这种现象很重要,但尚未提出有效的方法来准确计算最先进的深度分类器对大规模数据集上的此类扰动的鲁棒性。在本文中,我们填补了这一空白,并提出了 DeepFool 算法来有效计算欺骗深度网络的扰动,从而可靠地量化这些分类器的鲁棒性。大量的实验结果表明,我们的方法在计算对抗性扰动和使分类器更加鲁棒的任务中优于最新的方法。
论文阅读 (54):DeepFool: A Simple and Accurate Method to Fool Deep Neural Networks
因吉的博客
06-07 604
深度神经网络在图像分类任务上的成就毋庸置疑。然而,这些架构已被证明对图像的小扰动缺乏健壮性,目前也缺乏有效的方法来准确计算深度分类器应对大规模数据集上扰动的鲁棒性。本文则对这些鲁棒性进行可靠量化。.........
DeepFool算法.rar
08-19
本算法是经典的对抗样本算法,参考论文为《DeepFool: a simple and accurate method to fool deep neural networks》,基于pytorch框架实现,已调试完毕,可直接运行。
DeepFool对抗算法
08-28
DeepFool对抗算法实现代码,需先下载cleverhans集成库,或是我资源中的FGSM算法也可以。
DeepFool论文测试代码
10-24
DeepFool算法的研究者将其实验代码传至github,因下载很慢,故放到这供对抗样本感兴趣的可以下载测试。
对抗样本生成算法之DeepFool算法
ilalaaa的博客
05-17 3391
目录背景原理 论文链接点击获取. 背景 原理
如何理解DeepFool算法
DanyHgc的博客
01-03 4464
首先:DeepFool是白盒攻击算法 概述 生成对抗样本的基本思路,大体可以分为白盒攻击和黑盒攻击,区别在于黑盒测试把模型当做黑盒,只能输入样本获得预测结果,白盒在黑盒的基础上还可以获取模型的参数、梯度等信息。本文将介绍白盒攻击中最有名的DeepFool算法。 DeepFool基本原理 我们做攻击,一个很好的问题就是,我们究竟对原始图像做了多大修改就可以欺骗AI模型呢?换个说法就是,如何尽量少的修...
DeepFool对抗算法_学习笔记
Erpim的博客
07-19 1万+
前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,方便之后回顾。过程中可能引用其他大牛的博客,文末会给出相应链接,侵删! DeepFool算法 特点:白盒攻击、 论文原文:DeepFool: a simple and accurate method to fool deep neural networks 正文...
DeepFool笔记:对原理的理解和公式推导(多分类)
Niatruc的博客
04-13 1020
对多分类的理解 在多分类器中,输出向量由输入x属于各个分类的概率组成。若输出的向量中某个类对应的概率高,则判定输入的样本属于该类。 将每个类别CkC_kCk​对应一个决策超平面ckc_kck​,平面两端分别表示“属于该分类”(CkC_kCk​)和“不属于该分类”(Ck‾\overline{C_k}Ck​​)。假设一个三分类器(如图,C4C_4C4​先忽视),于是对于C3C_3C3​分类区域,它是c1‾\overline{c_1}c1​​、c2‾\overline{c_2}c2​​和c3c_3c3​的交集。
《Comprehensive Privacy Analysis of Deep Learning》补完以及Deepfool对抗样本构造算法
VnK_的博客
05-06 1982
本周阅读了推理攻击领域关于深度学习的隐私性的全面分析《Comprehensive Privacy Analysis of Deep Learning》,以及介绍Deepfool对抗样本构造算法的《DeepFool: a simple and accurate method to fool deep neural networks》。 1. 《Comprehensive Privacy An...
论文笔记--Adversarial examples in the physical world (2016).
404_Not__Found
11-19 1633
思路 证明通过手机拍摄的图像也会被错误分类,即手机照片的对抗性仍然存在,使用ImageNet Inception分类器。 原图像到对抗样本的转换公式,对z值加扰动,x原图像,三通道的图片,只在Z方向上加の。 一、对Z添加扰动的两种方法 (1)快速方法FGSM: (2)基本迭代方法BIM: 对每个像素使用小步长,clip之后的像素是原来的邻居,a=1,每步改变1。 对抗性生成目标类的标准: ...
基于PyTorch的DeepFool对抗样本生成算法实现
DeepFool算法由Moosavi-Dezfooli等人在2016年提出,并被发表在题为《DeepFool: a simple and accurate method to fool deep neural networks》的论文中。这篇论文详细介绍了算法的设计原理和实验结果,展示了Deep...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值