论文分享(三)——加权采样音频对抗样本攻击

最新推荐文章于 2024-05-13 21:50:26 发布
最新推荐文章于 2024-05-13 21:50:26 发布
阅读量4k 收藏 27
点赞数 7
分类专栏: 论文阅读 文章标签: 音频对抗样本 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xunbaobao123/article/details/103118743
版权
本文提出加权采样音频对抗样本攻击,通过WPT和SPT技术解决现有音频对抗样本的计算资源消耗大、鲁棒性差、准则选择不确定等问题。实验表明,该方法能快速生成鲁棒的对抗样本,提高攻击效率和噪声抵抗力。
摘要由CSDN通过智能技术生成

论文链接:https://arxiv.org/abs/1901.10300

一.介绍

文章提出了加权音频对抗样本的概念,着重于样本失真的数量及权重来加强攻击。此外,在损失函数中应用了降噪方法,以使对抗性攻击更加难以察觉。

音频对抗样本已经被证明可以很好的扰乱ASR(Automatic speech recognition)系统,使任何输入的音频翻译为目标句子。然而生成音频对抗样本的过程要比图像对抗样本难的多,仍旧存在一些技术挑战需要去被解决:

C1. 生成一个音频对抗样本,需要大量的计算资源和时间
C2. 录音和重放这些常见的音频操作都很容易引起额外的噪声,因此音频对抗样本的健壮性很差。
C3. 不同于图像领域,基于p范数的准则被拿来作为损失函数的一部分去产生对抗样本,在音频领域还没有一个研究来找到哪一种准则更加合适。

为此,在这篇论文中通过提出两种新的技术,WPT(Weighted Perturbation Technology)和 SPT( Sampling Perturbation Technology)来构建一个针对ASR系统快速,鲁棒的对抗样本攻击

在生成对抗样本的过程中,WPT通过调整音频在不同位置时失真的权重,并因此更快的产生对抗样本,还提高了攻击效率。(解决C1)

同时,通过基于语音识别模型中上下文相关性的特征减少干扰点的数量,SPT可以提高音频对抗性示例的鲁棒性。(解决C2)

更深层次,论文调查了不同的准则作为损失函数的一部分来生成音频对抗样本并且提供了一个参考给未来的相关领域的研究者。(解决C3)

最后,论文指出,相比现在最先进的方法,所提出的方法可以产生更加鲁棒的音频对抗样本在4-5分钟的较短时间内,这是一个很大的提升。

二.相关工作

音频对抗样本主要被分为两类:

音频—>标签(speech-to-label):这种方法主要被图像领域相似的一种方法所启发1,2。由于目标句子只能从特定的标签中被选择,这种方法的实际应用是由局限性的。

音频—>对应文本翻译(speech-to-text)3: Carlini & Wagner4首先将音频对抗样本应用于音频到文本的模型中,并且能够使得ASR将任何输入的音频输出为特定的目标句子。然而,音频的鲁棒性受到了损害并且它们的大多数音频对抗样本在添加了不可察觉的随机噪声后会失去对抗标签。

随后,在CommanderSong5中实现了实用的透过空气的音频对抗攻击,但是他们的方法只是在音乐片段上有效;另外,Yakura & Sakuma6提出了另一种物理世界的攻击方法。无论如何,这两种方法都会在原始音频中引入不可忽略的噪声。 不幸的是,所有这些方法都需要几个小时才能生成一个音频对抗示例,包括最新的工作7

PS:相关工作这个模块,放以前我是基本略过,或者粗略的看一眼。但是音频对抗样本这个部分,刚开始接触,自己觉得多了解一些有助于拓展思路,理解整体的这个领域的发展。看了几篇相关工作后,发现对于我这种论文还没有读多少的人来说,简直是“横财收集处”。发现以前的自己太浮躁了,之前的看过的论文相关工作部分我日后也一定都补上。

三.背景

3.1 威胁模型

在对攻击进行更加细节的描述之前,我们需要选择一个ASR模型作为可能的威胁模型。通常需要满足下面3个条件:

  1. 核心组成应该是RNNs,如LSTM,这被目前的ASR系统广泛接受。
  2. 目前最先进的音频对抗攻击方法应该能够应用在上面,相应的实验结果可以被用来作为一个本文方法的baseline。
  3. 需要是开源的,这样可以在上面进行白盒测试。

基于以上条件,选择Deepspeech8模型作为实验的威胁模型,开源的ASR系统使用CTC方法9和LSTM作为主要组成。进行的是白盒攻击。

最低0.47元/天 解锁文章
2020拯救世界
关注
专栏目录
大语言模型应用指南:神经网络的要素——网络结构、激活函数和损失函数
程序员光剑
07-13 854
大规模预训练:利用海量的文本数据进行无监督学习,让模型学习语言的统计规律。自回归语言建模:模型通过预测下一个单词来学习语言结构。注意力机制:使用自注意力机制来捕捉序列中的长距离依赖关系。迁移学习:预训练的模型可以通过微调适应各种下游任务。模型规模和性能的显著提升:从BERT到GPT-3,模型参数从数亿增长到数千亿。预训练方法的创新:从单向语言模型到双向模型,再到生成式预训练。迁移学习能力的增强:预训练模型可以快速适应各种下游任务。
多模态大模型:技术原理与实战 在LLM时代,对软件研发的更多思考————从软件 1.0 迈向软件 2.0 时代
最新发布
程序员光剑
06-29 838
软件1.0 vs 软件2.0 - **软件1.0**:传统的软件开发方法,通过人工编写明确的**程序逻辑和规则**来实现功能。 - **软件2.0**:利用AI和机器学习技术,通过**训练模型来"学习"如何执行任务,而不是显式编程**。在这种范式下,软件的行为更多地**由数据和学习算法决定,而不是固定的规则。**
生成语音对抗样本
Burger_的博客
05-25 2664
audio_adversarial_examples (生成语音对抗样本
Hidden Voice Attack | Adversarial Attack on Audio
qq_48996375的博客
07-11 522
#Adversarial Attack on Audio ###前言 ###之前自己学习的方向主要是针对图像的对抗攻击,今天学习了一个关于于###音频的attack。 ##Attacks on ASR ASR(Auto speech Recognition)即自动语音识别,将你说的话放到model里会识别出话对应的文字。如何攻击这个model?可以将这一段音频想象成一个一维的图片,对这一维做fgsm攻击算出perturbations,然后加在原始的音频上,会导致识别音频识别错误。 ##Attacks on
论文理解——Audio Adversarial Examples:Targeted Attacks on Speech-to-Text
qq_42372980的博客
05-06 3344
0-Abstract 本文构建了有关语音识别的定向语音对抗样本,给定任意音频波形,可以产生99.9%相似的另一个音频波形,且可以转录为所选择的任何短语。作者将基于白盒迭代优化攻击应用于DeepSpeech模型(端到端语音识别),实验显示,它具有100%的成功率。 1-Introduction 1.1Existing work 当前对对抗样本的研究大多基于图像空间,包括图像分类、图像生成模型...
物理世界的鲁棒语音对抗样本(源码阅读笔记)上
qq_44109982的博客
01-15 591
在看源码的时候感觉到些许吃力,写这篇博客是为了push自己坚持看完代码,该代码为IJCAI19发表的Robust Audio Adversarial Example for a Physical Attack的源代码,版权归作者所有。 首先是导入相关库和函数,用了import和from import语句 from __future__ import print_function import argparse import math import os import random import shuti
carlini/audio_adversarial_examples源码安装方法
weixin_39784804的博客
09-22 1565
Nicholas Carlini是文章Audio Adversarial Examples: Targeted Attacks on Speech-to-Text的作者,他将自己的代码放在github上,地址为https://github.com/carlini/audio_adversarial_examples 本文介绍Nicholas Carlini的audio_adversarial_examples源码安装方法,写这篇文章的原因是因为其github库的readme安装有一些问题,不能完成安装,因此
物理世界的鲁棒语音对抗样本(源码阅读笔记)下
qq_44109982的博客
01-16 684
这篇博客记录IJCAI19发表的Robust Audio Adversarial Example for a Physical Attack的源代码的Attack部分的阅读过程。 Attack类有两个方法,init和attack。 def init 是构造函数,用来定义实例的属性,在创建对象时自动执行 def attack中实现对抗样本的生成(只有个参数,self实例,输出路径,迭代次数) init方法 init的作用:配置攻击过程,创建TF图以使用它来实际生成对抗性示例。 这一串参数不明觉厉 de
从零开始构建机器学习平台——架构设计、模块拆解及实现方案
程序员光剑
08-10 712
概述在当今数据驱动的时代,机器学习已经成为众多行业和领域的核心技术。然而,构建一个完整、高效且可扩展的机器学习平台仍然是一项复杂的工程挑战。从数据收集和预处理,到模型训练、评估和部署,再到持续监控和优化,每个环节都需要精心设计和实现。本文旨在为读者提供一个全面的指南,详细介绍如何从零开始构建一个功能完备的机器学习平台。我们将深入探讨平台的整体架构设计,各个关键模块的功能和实现,以及在实际开发过程中可能遇到的挑战和解决方案。
Characterizing audio adversarial examples using temporal dependency.docx
05-02
翻译文献
EEG- gan:用于脑电图(EEG)大脑信号的生成对抗网络2018
Crystalxxtt的博客
12-17 2944
生成对抗网络(GANs)最近在涉及图像的生成应用中非常成功,并开始应用于时间序列数据。在这里,我们将EEG- gan描述为。我们引入了对Wasserstein GANs的改进训练的修改,以稳定训练并研究一系列对时间序列生成至关重要的架构选择(。为了进行评估,我们考虑并比较不同的指标,如,共同表明我们的EEG- gan框架生成了自然的EEG示例。因此,它在神经科学和神经学领域开辟了一系列新的生成应用场景,例如脑机接口任务中的数据增强、脑电图超级采样或损坏数据段的恢复。
论文分享(四)——NIPS 2019 Adversarial Music: Real World Audio Adversary Against Wake-word Detection System
xunbaobao123的博客
11-29 657
摘要 论文的重点是针对唤醒词检测系统提出的攻击方法,通过一些无法察觉的背景音乐干扰使得VAs(语音助手)无效,当存在对抗音频时。论文模拟实现了Amazon Alexa的唤醒检测系统,根据从现实世界收集的数百种语言样本,验证了所提出的对抗音频样本的有效性。实验表明,可以显著地将所模拟的唤醒检测模型的F1分数从93.4%降到11.0%,最后,还测试了在空气中的音频对抗样本,同样有效的将F1分数从92....
对语言模型的通用声学攻击
声纹感知 洞察芯声
05-13 1050
对语言模型的通用声学攻击主要涉及到通过生成对抗性扰动来干扰或欺骗语音识别系统。这种攻击可以通过多种方式实现,包括但不限于基于深度学习的方法和特定的攻击策略。
Adversarial Examples 对抗样本
热门推荐
心之所向
03-24 1万+
定义 深度模型具有良好的泛化能力同时,也具有极高脆弱性。以分类为例:只需要通过故意添加细微的干扰所形成的输入样本(对抗样本),模型以高置信度给出了一个错误的输出。当然这问题不仅出现在深度模型中,在其他机器学习模型也存在。“对抗样本”是安全方面非常好的一个议题,因为它代表了AI安全领域里的一种具体的问题。 如上样本x的label为熊猫,在对x添加部分干扰后,在人眼中仍然分为熊猫,但对深度模型...
语音攻击论文整理
咕噜咕噜
10-13 1909
语音攻击的思路就是播放语音攻击命令。 攻击方法: CommanderSong: A Systematic Approach for Practical Adversarial VoiceRecognition:在歌曲中加入语音命令,通过播放歌曲实施攻击 DolphinAttack: Inaudible Voice Commands:超声波音频上带有语音命令,通过设...
科研篇四:对抗样本20篇-ICML2019
weixin_38316806的博客
10-22 1706
文章目录一、对抗攻击(Adversarial Attack)1.1.Adversarial Attacks on Node Embeddings via Graph Poisoning1.2.Adversarial camera stickers: A physical camera-based attack on deep learning systems二、对抗防御2.1.Using Pre-...
“sampling“(采样
weixin_42589048的博客
07-13 348
在机器学习和深度学习中,"sampling"(采样)通常指从一个数据集中选择(或提取)一部分样本的过程。这个过程可以是随机的,也可以是根据特定的采样策略进行选择。高置信度样本挖掘:在训练过程中,根据模型对样本的置信度或预测概率选择具有较高置信度的样本。通过合理的采样方法,可以有效地利用有限的数据集,并提高模型的性能和泛化能力。硬负样本挖掘:在目标检测和分类任务中,从负样本中选择更具挑战性的样本。例如,针对类别不平衡问题,可以使用过采样或欠采样技术来平衡不同类别的样本数量。
摄动法/扰动法
hubert937的博客
07-27 6167
最近需要用到摄动法,开一个贴来记录一下。先来看一个扰动法的例子: (1) 假设我们目前没有确切的解法来求出x的值,但是我们有一个近似的方程: (2) 我们可以得到这样一个式子: (3) 我们把式(1)作为式(2)的一个扰动方程 (4) 我们假设扰动方程的解接近没有扰动方程的解: 然后我们将扰动解带入原方程式(1),得到: 因为被假设为很小的值,那么,则为: 那么方程的一个解为: 同理,方程的另一个解为: 最终方程的近似解为: 原方程的...
k最邻近算法——加权kNN
06-08
加权kNN是k最邻近算法的一种变体,它与普通的kNN算法的区别在于,在计算k个最近邻居的时候,加权kNN会为每个邻居分配一个权重,然后用这些权重来预测目标值。 这些权重可以基于不同的因素进行计算,比如距离、相似度等。通常情况下,距离越远的邻居,其权重越小,距离越近的邻居,其权重越大。这样做的目的是让距离近的邻居对目标值的预测起到更大的作用。 举个例子,假设我们要使用加权kNN算法来预测某个人的收入水平。我们可以将那些与这个人距离较近的其他人视为其邻居,计算出它们的收入水平,然后为每个邻居分配一个权重,最后将这些权重乘以每个邻居的收入水平,然后求和,得到的结果就是这个人的预测收入水平。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值