DeepFool公式理解

已于 2022-10-12 16:21:44 修改
阅读量588 收藏 10
点赞数 4
分类专栏: 神经网络对抗攻击论文阅读 文章标签: 算法
于 2022-10-11 14:32:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxzyxzyx2495310073/article/details/127259494
版权

参考:https://posts.careerengine.us/p/5ff6b16ae83b0349b1f7c3a3

1、二范数

 论文中:

         以上是鲁棒性定义,即给定一个分类器,样本鲁棒性是使得模型出现误分类的最小扰动,即为干净的样本,为模型预测的标签。是分类器处鲁棒性。
模型在整个数据集上的鲁棒性定义为:

 这是一种期望的形式。作者的这种定义是在分母中都除以一个样本的 2 范数。模型鲁棒性是更好地理解当前网络体系结构的局限性和设计增强健壮性的方法的关键。

2、DeepFool攻击二分类器

 图2:线性二进制分类器的对抗样本。

 上图为对抗样本攻击线性分类器的图示。其中为一个二分类器。为干净样本点的最短距离,即为样本点在分类器中的鲁棒性。

 =0   为分类超平面。

目标函数如下:

意思是:改变分类器决策的最小扰动对应于  x0  在  F  上的正交投影。它由以上解析公式给出。

为了更好的理解上图对抗样本攻击二分类器的原理,我重新画了一个图来对其进行解释。如下图所示,在二维平面中,有一条直线和一个点 ,其中直线的法向量为,由高中的点到直线的距离知识可知点到直线的距离为:

 

 3、论文给出的最终公式如何推导?

上面目标函数可以通过迭代的方式来进行求解以获得最小对抗扰动,可以重新转换成如下的优化形式:

 下面为具体的推导过程:

已知梯度(函数在当前位置的导数) ,所以有:

又因为梯度的模长为 1,所以两边同乘以有:

 最后,移项可得到最终论文中给出的公式:

 4、DeepFool攻击多分类器

 介绍完 DeepFool 攻击二分类器,这一节介绍有关 DeepFool 攻击多分类器。分类器预测标签如下公式所示:

 其中, 是预测概率向量的第 k 类的概率分量。多分类器模型误分类的优化函数如下所示:

 为了更好的理解以上优化形式的含义,自己做了一个图示便于理解。如下图所示,左半部分是干净样本的概率向量的输出,预测的类别为 ,加入对抗扰动后,预测类别变成了 。

 如下图实例所示,已知一个四分类器,干净样本被分为第四类中。绿色区域为一个凸区域可以表示为:

 根据高中的点到直线的距离公式,可以推算得知点到三条边界最短的距离的计算公式为:

 与 DeepFool 攻击二分类器相似,则多分类器的对抗扰动为:

 下面是自己的理解:

 5、非线性多分类

嗯~啥也不会
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
论文那些事—DeepFool: a simple and accurate method to fool deep neural networks
shuweishuwei的博客
10-08 706
Elastic-Net Attacks to Deep Neural Networks via Adversarial Examples(通过对抗样本对深层神经网络的弹性网络攻击) 1、摘要及背景
对抗样本之DeepFool原理&coding
liuyishou
07-21 3878
目录1 笔者言2 coding2.1 训练模型2.2 DeepFool对抗样本生成2.3 测试鲁棒性2.4 可视化展示附录 1 笔者言 虽说标题有DeepFool原理,但能力有限,这个我确实讲不清楚。与FGSM,BIM,MIM,CW等生成对抗样本的方法相比,deepfool是最难的了。给你推荐一个我看懂了的文章,但切记,想要真正明白deepfool的原理,就一定要耐下性子认真看,还要多动笔画示意图。言至此,传送门 本文主要讲解代码,完成生成deepfool对抗样本的完整过程。直接复制代码就能跑。相信我,不
deepfool攻击原理和提出必要性
weixin_74095289的博客
05-26 426
目的一:对抗训练很重要,作者发现,如果采用FGSM这种,L-BFGS这些生成对抗样本的方法可能会导致对抗训练效果变更差。为什么呢?因为作者发现用来对抗训练的对抗样本扰动越大那么可能 让对抗样本训练把原本的神经网络变更差下图中这个是神经网络的鲁棒性衡量用下图公式下图是使用不同扰动大小的对抗样本来训练神经网络,发现扰动越大的对抗样本 训练的效果越差l下图中更是说明,用FGSM去对抗训练,发现结果还没有用clean样本去训练的效果好,说明FGSM生成的样本来对抗训练 不行。
DeepFool笔记:对原理的理解公式推导(多分类)
Niatruc的博客
04-13 932
对多分类的理解 在多分类器中,输出向量由输入x属于各个分类的概率组成。若输出的向量中某个类对应的概率高,则判定输入的样本属于该类。 将每个类别CkC_kCk​对应一个决策超平面ckc_kck​,平面两端分别表示“属于该分类”(CkC_kCk​)和“不属于该分类”(Ck‾\overline{C_k}Ck​​)。假设一个三分类器(如图,C4C_4C4​先忽视),于是对于C3C_3C3​分类区域,它是c1‾\overline{c_1}c1​​、c2‾\overline{c_2}c2​​和c3c_3c3​的交集。
对抗样本(五)DeepFool
白丁的博客
03-19 2536
文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文主要内容1、Introduction2、DeepFool For Binary Classifiers3、DeepFool For Multiclass classifiers3.1 Affine Multiclass Classifier(线性的多分类分类器)3.2 General Classfie...
DeepFool论文解读
weixin_40872714的博客
10-18 754
作者首先定义了对抗攻击的范式和模型的鲁棒性。   通常,对与一个给定的模型,能够改变分类器 k^(x)\hat{k}(x)k^(x) 的分类结果的最小对抗扰动 rrr 定义如下 Δ(x;k^):=min⁡r∥r∥2    subject to  k^(k+r)≠k^(x) \Delta(x;\hat{k}):=\min_r\|r\|_2\;\;\text{subject to}\; \hat{k}(k+r) \not=\hat{k}(x) Δ(x;k^):=rmin​∥r∥2​subject tok^(k
DeepFool
qq_38037870的博客
03-03 269
1.参考 1111 在求对线性二分类器的最小扰动中,原文图如下。这里是二维平面,所以看图理解的时候应把样本看成有两个特征(分别沿横纵轴取值);决策超平面是一条直线wx+b=0。最小扰动向量的大小是从样本到决策超平面的距离,方向与超平面的法向量相反) ...
论文阅读 (54):DeepFool: A Simple and Accurate Method to Fool Deep Neural Networks
因吉的博客
06-07 554
深度神经网络在图像分类任务上的成就毋庸置疑。然而,这些架构已被证明对图像的小扰动缺乏健壮性,目前也缺乏有效的方法来准确计算深度分类器应对大规模数据集上扰动的鲁棒性。本文则对这些鲁棒性进行可靠量化。.........
DeepFool论文翻译---DeepFool: a simple and accurate method to fool deep neural networks
哈哈哈哈哈哈
10-11 1025
最先进的深度神经网络在许多图像分类任务中取得了令人印象深刻的结果。然而,这些相同的架构已经被证明对于较小的、广受欢迎的图像扰动是不稳定的。尽管这一现象很重要,但还没有提出有效的方法来准确计算最先进的深度分类器对大规模数据集上此类扰动的鲁棒性。本文中,我们填补了这一空白,并提出了DeepFool算法,以有效计算欺骗深度网络的扰动,从而可靠地量化这些分类器的鲁棒性。大量实验结果表明,我们的方法在计算对抗扰动和使分类器更健壮的任务上优于最近的方法。
Deepfool阅读笔记
weixin_49171105的博客
07-27 538
DeepFool算法,用于计算欺骗最新分类器的对抗样本。它基于分类器的迭代线性化,以生成足以更改分类标签的最小扰动。
对抗样本生成算法DeepFool算法
ilalaaa的博客
05-17 3105
目录背景原理 论文链接点击获取. 背景 原理
DeepFool算法.rar
08-19
算法是经典的对抗样本算法,参考论文为《DeepFool: a simple and accurate method to fool deep neural networks》,基于pytorch框架实现,已调试完毕,可直接运行。
DeepFool对抗算法
08-28
DeepFool对抗算法实现代码,需先下载cleverhans集成库,或是我资源中的FGSM算法也可以。
DeepFool论文测试代码
10-24
DeepFool算法的研究者将其实验代码传至github,因下载很慢,故放到这供对抗样本感兴趣的可以下载测试。
DeepFool论文阅读
yty_311的博客
01-05 641
英文不大好,论文翻译这类博客都是机器翻译用来自己阅读的,大家有兴趣的随便看看就好 DeepFool:一种简单而准确的愚弄深度神经网络的方法 摘要 最先进的深度神经网络已经在许多图像分类任务中取得了令人印象深刻的结果。然而,这些相同的架构已经被证明是不稳定的小,良好的寻找,图像的扰动。尽管这一现象很重要,但还没有提出有效的方法来精确计算最先进的深度分类器对大规模数据集上这种扰动的鲁棒性。在本文中,我们填补了这一空白,并提出了深度愚人算法来有效地计算愚弄深度网络的扰动,从而可靠地量化这些分类器的鲁棒...
DeepFool对抗算法_学习笔记
热门推荐
Erpim的博客
07-19 1万+
前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,方便之后回顾。过程中可能引用其他大牛的博客,文末会给出相应链接,侵删! DeepFool算法 特点:白盒攻击、 论文原文:DeepFool: a simple and accurate method to fool deep neural networks 正文...
经典对抗攻击Deepfool原理详解与代码解读
Paper weekly
08-17 1万+
©PaperWeekly 原创 · 作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:DeepFool: a simple and accurate...
deepfool攻击pytorch代码
qq_42732826的博客
04-29 640
目前,没有有效率的方法可以用来精确的计算深度模型对对抗扰动的鲁棒性。在这篇论文中,提出了DeepFool算法来生成扰动,并且提出了一种量化分类器鲁棒性的方法。FGSM虽然快,但是它只是提供了最优扰动的一个粗略的估计,它执行的梯度的方法,经常得到的是局部最优解,DeepFool能够得到更小的扰动,甚至比FGSM小一个数量级。提出了一种计算分类器对对抗扰动的鲁棒性的评价方法。上面这些代码都可以复用的所以我直接用。下面这部分是非定向攻击的代码。直接放pytorch代码吧。下面这部分是定向攻击的代码。
DeepFool: a simple and accurate method to fool deep neural networks(2016 CVPR)
weixin_43856668的博客
11-13 280
最先进的深度神经网络已经在许多图像分类任务上取得了令人印象深刻的结果。然而,这些相同的架构已被证明对于图像的小而良好的扰动是不稳定的。尽管这种现象很重要,但尚未提出有效的方法来准确计算最先进的深度分类器对大规模数据集上的此类扰动的鲁棒性。在本文中,我们填补了这一空白,并提出了 DeepFool 算法来有效计算欺骗深度网络的扰动,从而可靠地量化这些分类器的鲁棒性。大量的实验结果表明,我们的方法在计算对抗性扰动和使分类器更加鲁棒的任务中优于最新的方法。
DeepFool 算法
最新发布
06-27
DeepFool算法是一种用于欺骗深度学习模型的攻击技术,它旨在找到对输入数据进行最小扰动,使其从一个类误分类到另一个类,同时这个扰动在人类视觉上几乎是不可察觉的。该算法的核心思想是通过迭代优化,在决策边界...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值