论文阅读—Meta Gradient Adversarial Attack

最新推荐文章于 2023-02-12 21:06:17 发布
最新推荐文章于 2023-02-12 21:06:17 发布
阅读量969 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yayayamaomaoya/article/details/121068639
版权

神经网络 深度学习

摘要:

近年来,对抗性攻击的研究成为一个热点。虽然目前的基于转移的对抗性攻击研究在提高对不可见黑箱模型的transferability取得了很好的成果,但仍有很长的路要走。受元学习思想的启发,本文提出了一种新的体系结构——元梯度对抗性攻击(Meta Gradient Adversarial Attack, MGAA),该体系结构是一种可插即用的攻击方法,可以与任何现有的基于梯度的攻击方法集成,以提高跨模型的transferability。

引言:

近年来,随着神经网络的快速发展,神经网络的可靠性逐渐受到越来越多的关注。神经网络对对抗性的例子非常敏感,即输入的不可察觉的扰动很容易欺骗模型,导致意外错误。例如,在使用人脸识别技术进行支付时,对人脸图像的轻微干扰可能会欺骗人脸识别模型,使其识别为其他人。由于攻击和防御是互补的两个方面,对抗性攻击的研究最终可以提高模型的鲁棒性,从而使模型更加可靠。XXXX当前研究概括。 尽管这些方法在黑盒攻击场景下取得了很好的效果,但是由于白盒模型和不可见的黑盒模型之间的差异,对抗性例子的可移植性仍然受到限制。

相关性工作:

一般根据可以获取的目标模型信息的多少分为四类:white-box attack, score-based
black-box attack, decision-based black-box attack和transfer-based black-box attack。

白盒攻击可以获取目标模型的所有信息,包括模型参数、模型结构(model structure)、梯度等;Score-based black-box attack攻击方法假设它们可以从目标模型中获得给定输入图像的分类概率; Decision-based black-box attack,只有来自目标模型的给定输入图像的预测类可用,这似乎比基于分数的黑盒攻击更困难;Transfer-based black-box attack无法获取目标模型的任何信息,这是最具挑战性的设置。

防御方法可分为五类: adversarial training, input transformation, randomization, model ensemble, and certified defenses. Adversarial training 基于生成的对抗性例子进行模型训练。Input transformation利用JPEG压缩,去噪,并在将图像输入到模型之前额外使用GAN模型。Randomization是指在输入例子或模型中加入随机噪声,使模型对对抗性例子更具鲁棒性。Model ensemble是指输出层中多个模型的集成。与单一模型相比,它可以减少对抗性例子中分布的影响。另外,一些工作证明了在特定的目标模型下,经过certified defenses model 可以确保对对抗性例子的鲁棒性。

方案介绍

算法过程具体介绍:

首先,从 M 1 , M 2 , ⋯   , M N {M_1},{M_2}, \cdots ,{M_N} M1,M2,,MN个模型中,随机采样 n + 1 n+1 n+1个模型 M k 1 , M k 2 , ⋯   , M k N {M_k}_1,{M_{k2}}, \cdots ,{M_{kN}} Mk1,Mk2,,MkN

其次,计算n个模型的交叉熵损失,并计算这些模型的esmble 的梯度,如下,在这里插入图片描述
迭代上述过程 K K K次,得到对抗样本 x i , K {x_{i,K}} xi,K.
再次,在模型 M k n + 1 {M_{kn+1}} Mkn+1上计算 x i , K {x_{i,K}} xi,K的交叉熵损失,得到对抗样本 x i , m t {x_{i,mt}} xi,mt

在这里插入图片描述
最后,为增强对抗样本的迁移性,在meta-test step 阶段中添加到 x i x_i xi生成的对抗性示例中,以更新对抗样本:

在这里插入图片描述
以上过程的伪代码如下图所示

在这里插入图片描述

小菜鸟的进阶史
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
基于对抗梯度的探索模型及其在点击预估中的应用
阿里妈妈技术
08-24 454
✍????本文作者:风徜、明言、兴澜、寒戍、孟诸、玺羽1. 摘要排序模型在广告、推荐和搜索系统中起到了至关重要的作用。在排序模块中,点击率预估技术又是重中之重。目前工业界的点击率预估技术大多采用深度学习算法,基于数据驱动来训练深度神经网络,然而数据驱动带来的相应问题是推荐系统中的新进项目会存在冷启动问题。探索与利用(Exploration-Exploitation,E&E)方法通常用于处理大规...
论文学习】图神经网络对抗攻击顶会论文汇总(2018-2021年)
qq_38391210的博客
08-19 6792
图对抗攻击 在信贷领域,结合贷款人的金钱交易来评估他的信用情况,人与人的交易记录就是用图来表示。 对于图来说,特征往往是离散的(例如图的结构特征,一条边要么存在,要么不存在)。 对于图来说,很难定义图上的微小扰动。 在图像对抗攻击领域,通常是在训练好的模型上输入扰动图片使其预测错误evasion attack,但是在图对抗攻击领域是让扰动后的图上重训练的模型性能变差,这种攻击被称为投毒攻击。 图卷积网络 图卷积网络被用来解决半监督结点分类问题。 经典的论文 (1)Adversarial Attacks on
MetaAttack_ICLR2020
04-25
对深度神经网络的查询有效元攻击 该存储库包含用于复制攻击我们的提议的mnist,cifar10,tiny-imagenet模型的实验结果的代码:对深度神经网络的查询有效元攻击( )。 该论文可引述如下: @inproceedings{ Du2020Query-efficient, title={Query-efficient Meta Attack to Deep Neural Networks}, author={Jiawei Du and Hu Zhang and Joey Tianyi Zhou and Yi Yang and Jiashi Feng}, booktitle={International Conference on Learning Representations}, year={2020}, url={https://openreview.net/forum?i
论文那些事—Meta Gradient Adversarial Attack
shuweishuwei的博客
12-08 872
Meta Gradient Adversarial Attack(ICCV2021,MGAA) 1、摘要 受元学习思想的启发,本文提出了一种新的体系结构元梯度对抗攻击(Meta Gradient Adversarial Attack, MGAA)是一种即插即用的攻击方法,可以与现有的任何一种基于梯度的攻击方法集成,以提高跨模型的可移动性。具体来说,从一个模型集合中随机抽样多个模型来组成不同的任务,并在每个任务中分别模拟白盒攻击(选取多个模型)和一个黑盒攻击(只有一个模型)。通过缩小白盒攻击和黑盒攻击的梯
论文Adversarial Gradient Driven Exploration for Deep Click-Through Rate Prediction
Citroooon的博客
02-12 245
阿里妈妈 2022 kdd。
Meta-RL之Meta-Gradient Reinforcement Learning
Ton的博客
10-02 1642
这篇文章是用元学习算法去学习RL的超参数η={γ,λ}\eta=\{\gamma,\lambda\}η={γ,λ}。当然不仅限于这2个超参数,还可以是和回报相关的超参数。 本文的核心思想:我们之前接触过Meta-Learning参数的初始化(MAML、Reptile)以及Meta-Learning参数的更新优化(L2L-by-gd-by-gd、Opt as a model for few-shot learning),那么这篇就是能否Meta-Learning到η={γ,λ}\eta=\{\gamma,\l
meta_gradient_experiment
04-07
python main / train_ppo_bullet.py --seed 18 --device'cuda:0'--use-gae --lr 2e-4 --clip-param 0.2 --value-loss-coef 0.3 --num-processes 12- -num-steps 2048 --num-mini-batch 32 --entropy-coef 0.02 --num-env-steps 60000000 --log-dir ../RUNS/exp_test_ll --frame-stack 3 --gamma 0.99- save-interval 50 --gae-lambda 0.95 --ppo-epoch 1
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
论文阅读笔记】NeurIPS2020文章列表Part2
zincrain的博客
12-09 5961
Online Multitask Learning with Long-Term Memory Fewer is More: A Deep Graph Metric Learning Perspective Using Fewer Proxies Adaptive Graph Convolutional Recurrent Network for Traffic Forecasting On Reward-Free Reinforcement Learning with Linear Function A.
CVPR 2021最全论文开放下载!附pdf下载链接!
中科院AI算法工程师的博客
06-18 1万+
CVPR 2021最全论文开放,附所有pdf下载链接!
7 Papers & Radios | SIGGRAPH 2020最佳博士论文;南开等提出新型自校准卷积 
胭脂草的ABC博客
04-09 878
本周的重要论文包括 SIGGRAPH 2020 最佳博士论文,以及南开大学等提出的自校准卷积和相应网络。 目录: LightGCN: Simplifying and Powering Graph Convolution Network for Recommendation Deformable Siamese Attention Networks for Visual Object Tracking Boosting Few-Shot Learning With Adaptive Marg...
【李宏毅2020 ML/DL】补充:Meta Learning - Gradient Descent as LSTM
记录学习痕迹的公众号:Piper蛋窝
08-12 1083
本节讨论的是“元学习”,我们将讨论用 LSTM 做优化器的方法。我们所指的训练,是指训练优化器 LSTM 的参数。
Meta Learning Gradient Descent as LSTM 李宏毅机器学习笔记
weixin_41684423的博客
04-07 396
以上结构类似于RNN(LSTM)结构,其中θ类似于隐向量,training data就是输入X以下具体说明。 一、LSTM review Ct-1和Ct改变会很小,所以保持了长期依赖,ht-1和ht变化大代表了短期依赖。 zi输入门,zf遗忘门,zo输出门 ct=z和zi做点乘+zf和ct-1点乘(选择选择ct-1还是遗忘) ht=zo和tanh(ct) yt=激活(W’ht) 二、LSTM与Gradient descent的联系 1.另ct-1换成θt-1...
论文阅读】Query-efficient Meta Attack to Deep Neural Networks
huitailangyz的博客
06-16 1155
【2020ICLR】 Du, Jiawei, Hu Zhang, Joey Tianyi Zhou, Yi Yang, and Jiashi Feng. "Query-efficient Meta Attack to Deep Neural Networks."arXiv preprint arXiv:1906.02398(2019). 任务:基于meta-learning的灰盒攻击 本文研究的内容是基于meta-learning的灰盒攻击,使用一个autoencoder网络结构来估计...
台大李宏毅机器学习2020学习笔记(一):机器学习简介
意疏的学习笔记
03-18 1621
前言 去年走马观花式的听了一遍台大李宏毅老师的Machine Learning 2019,觉得老师讲的很好。于是打算今年重新细致的听一遍,并做一份完整的笔记。就写这么多,从此开始吧。 概念 机器学习(Machine Learning):让机器自动找函数。如语音识别,就是让机器找一个函数,输入是声音信号,输出是对应的文字。如下棋,就是让机器找一个函数,输入是当前棋盘上黑子白子...
【迁移攻击笔记】2019.11分批次集成攻击A New Ensemble Adversarial Attack Powered by Long-term Gradient Memories
weixin_43916250的博客
11-26 1355
0.总览 上交和阿里巴巴团队的一篇我觉得是把集成迁移攻击研究透了的文章。每个trcik都有很复杂的数学支撑, 1.Introduction ①目前主流的迁移方法:ensemble-based 和 GAN, 对算力和内存要求高。 ②因此提出SMBEA(Serial Mini-Batch Ensemble Attack),基于俩个先验:模型迁移相当于网络泛化;边界相似度比扰动大小的限制更重要。 ③将集...
【每日一读】Pro-GNN:Graph Structure Learning for Robust Graph Neural Networks
海到无边天作岸 山登绝顶我为峰
09-25 2003
Hello!ଘ(੭ˊᵕˋ)੭昵称:海轰标签:程序猿|C++选手|学生简介:因C语言结识编程,随后转入计算机专业,获得过国家奖学金,有幸在竞赛中拿过一些国奖、省奖…已保研学习经验:扎实基础 + 多做笔记 + 多敲代码 + 多思考 + 学好英语!唯有努力💪【每日一读】每天浅读一篇论文,了解专业前沿知识,培养阅读习惯(阅读记录 仅供参考)原文链接:https://dl.acm.org/doi/10.1145/3394486.3403049。
为可迁移对抗性攻击训练元代理模型
我爱计算机视觉
07-11 422
关注公众号,发现CV技术之美本篇分享论文『Training Meta-Surrogate Model for Transferable Adversarial Attack』,为可迁移对抗性攻击训练元代理模型。详细信息如下:论文链接:https://arxiv.org/abs/2109.01983 01 引言该论文是关于黑盒攻击可迁移性的文章。在当前大...
对抗样本可转移性与黑盒攻击_学习笔记
Erpim的博客
09-07 1万+
1 
请写一个500字的使用快速梯度符号攻击Fast Gradient Sign Attack(FGSM),以欺骗一个MNIST分类器的实验心得
最新发布
05-27
Fast Gradient Sign Attack (FGSM) 是一种广泛应用于对抗样本攻击的方法,它通过在输入数据的梯度方向上添加一个小的扰动来欺骗分类器模型。在本文中,我将介绍如何使用 FGSM 对 MNIST 数据集中的手写数字分类器进行攻击,并分享我的实验心得。 首先,我们需要准备一个 MNIST 分类器模型。这可以通过使用 Keras 和 TensorFlow 框架中的内置模型来实现,如下所示: ``` from keras.datasets import mnist from keras.utils import to_categorical from keras.models import Sequential from keras.layers import Dense, Flatten, Conv2D, MaxPooling2D # 加载 MNIST 数据集 (x_train, y_train), (x_test, y_test) = mnist.load_data() # 将像素值缩放到 0-1 范围内 x_train = x_train.astype('float32') / 255. x_test = x_test.astype('float32') / 255. # 将标签转换为 one-hot 编码 y_train = to_categorical(y_train, num_classes=10) y_test = to_categorical(y_test, num_classes=10) # 构建模型 model = Sequential() model.add(Conv2D(32, kernel_size=(3, 3), activation='relu', input_shape=(28, 28, 1))) model.add(Conv2D(64, (3, 3), activation='relu')) model.add(MaxPooling2D(pool_size=(2, 2))) model.add(Flatten()) model.add(Dense(128, activation='relu')) model.add(Dense(10, activation='softmax')) # 编译模型 model.compile(loss='categorical_crossentropy', optimizer='adam', metrics=['accuracy']) ``` 接下来,我们可以使用 FGSM 来生成对抗样本。FGSM 的核心思想是沿着输入数据的梯度方向添加一定的扰动,使得分类器模型将其错误分类。我们可以通过以下代码实现: ``` import tensorflow as tf # 定义 FGSM 攻击函数 def fgsm(model, x, eps): # 计算输入数据的梯度 grad = tf.gradients(model.output, model.input)[0] # 计算扰动 signed_grad = tf.sign(grad) perturbation = eps * signed_grad # 生成对抗样本 adv_x = x + perturbation # 将像素值裁剪到 0-1 范围内 adv_x = tf.clip_by_value(adv_x, 0, 1) return adv_x # 定义 FGSM 攻击参数 eps = 0.1 # 选择一个样本进行攻击 x = x_test[0] y_true = y_test[0] # 将输入数据转换为 TensorFlow 张量 x_tf = tf.convert_to_tensor(x.reshape((1,28,28,1))) # 生成对抗样本 adv_x_tf = fgsm(model, x_tf, eps) # 将对抗样本转换为 Numpy 数组 adv_x = adv_x_tf.eval(session=tf.Session()) ``` 在生成对抗样本后,我们可以将其输入到分类器模型中进行测试,以验证是否能欺骗模型。我们可以通过以下代码实现: ``` # 对抗样本的预测结果 y_pred_adv = model.predict(adv_x) # 打印真实标签和对抗样本的预测结果 print('True label:', y_true.argmax()) print('Adversarial label:', y_pred_adv.argmax()) ``` 通过反复调整 eps 参数的大小,我们可以生成不同程度的扰动,从而得到不同的对抗样本,进而观察分类器模型的鲁棒性。在我的实验中,我发现当 eps 取值较小时,生成的对抗样本与原始图像非常接近,分类器模型很容易被欺骗;而当 eps 取值较大时,生成的对抗样本与原始图像差异较大,分类器模型的准确率反而得到提高。 总的来说,使用 FGSM 对 MNIST 分类器进行攻击是一项非常有趣的实验。通过实验,我深刻认识到了对抗样本的威胁,并对如何提高深度学习模型的鲁棒性有了更深入的理解。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值