日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

对抗机器学习—— 迭代FGSM

發布時間:2023/12/31 编程问答 31 豆豆
生活随笔 收集整理的這篇文章主要介紹了 对抗机器学习—— 迭代FGSM 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

論文標題

ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD

論文url

https://arxiv.org/pdf/1607.02533.pdf?utm_source=sciontist.com&utm_medium=refer&utm_campaign=promote

論文核心內容:

  • 提出了迭代FGSM的方法,以及least likely 攻擊的方法。
  • 做了一系統的實驗,驗證在真實的物理環境中,那些直接使用數字圖像生成的對抗樣本是否依然具有使分類器分類錯誤的能力。為什么要有這么疑問呢?這是因為,之前的機器學習對抗工作都是直接在數字圖像本身做的操作,這些對抗后的圖像會直接調用api輸入到神經網絡里面去。但是在現實中,圖像都是基于感光設備采集的,這些感光設備在生成圖像的時候,其實是引入噪聲的,例如環境光的影響、攝像頭離圖片的位置的影響,這些影響是很有可能把攻擊者千方百計加入的微小擾動的作用給破壞掉的。作者把這種感光設備采集圖像中引入噪聲的過程叫做 photo transformation,然后這些transformation又可以看作是改變光照、模糊、加入噪聲的這些子變化的合成,并做實驗量化這些transformation的影響。

Iterative FGSM

Basic Iterative FGSM

作者對原始的FGSM方法做了一點推廣,提出了迭代的FGSM.
原始的FGSM:

FGSM里面,每次尋找對抗樣本的時候,直接是x+εsign(?xJ(x,y))x+εsign(?_x J(x,y))x+εsign(?x?J(x,y)) ,這樣是把每個像素點都變化了 εεε 這么大。這個改動其實是挺大,因為每個像素點都動了。

我們考慮FGSMFGSMFGSM 提出的理論假設:假設目標損失函數J(x,y)J(x,y)J(x,y)xxx之間是近似線性的,即J(x,y)≈wTxJ(x,y)≈w^T xJ(x,y)wTx,然后我們想往x加上一個小的擾動δδδ,使得J(x,y)J(x,y)J(x,y)變的最大。而J(x+δ,y)?J(x,y)≈wTδJ(x+δ,y)-J(x,y)≈w^T δJ(x+δ,y)?J(x,y)wTδ,這玩意要最大,那當時是直接δ=εsign(?xJ(x,y))δ=εsign(?_x J(x,y))δ=εsign(?x?J(x,y))

但是 這個線性假設不一定是正確的呀,如果J和x不是線性的,那么是否存在(0,εsign(?xJ(x,y)))(0,εsign(?_x J(x,y) ))(0,εsign(?x?J(x,y)))之間的某個擾動,使得J增加的也很大?此時x的修改量就可以小于εεε 了。

于是,作者就提出迭代的方式來找各個像素點的擾動,而不是一次性所有像素都改那么多的想法。

其中有個Clip截斷函數:

這個截斷函數寫的花里胡哨的,但是表達的意思說穿了就一文不值,這個函數等價于:

它其實是想說X’的每個像素都得在X對應像素的ε鄰域,同時又得是有意義的圖片。

于是這個迭代的含義就是:每次在上一步的對抗樣本的基礎上,各個像素增長ααα(當然也可以減少),然后再執行裁剪,保證新樣本的各個像素都在X的各個像素的εεε 鄰域內。這種迭代的方法是有可能在各個像素變化小于εεε 的情況下找到對抗樣本的,如果找不到大不了最差的效果就跟原始的FGSMFGSMFGSM一樣。

Iterative Least-likely Class FGSM

最不相似的FGSM,其實是有目標攻擊,它把目標設置為原樣本最不可能的標簽,然后執行有目標攻擊。

再迭代攻擊:

注意,這里是減去擾動,其原因和FGSM的定向攻擊是一樣的。

迭代FGSM的攻擊效果


可以看到,當ε 比較小的,迭代攻擊效果是更原始的FGSM好的。而且Least-likely 的攻擊效果最好,從圖片上看也能看出來least-likely的改動是最小的。

現實攻擊

作者想實驗一下這些生成出來的對抗圖片,被照相機拍照后是否還具有對抗效果。注意!作者沒有對照相機對圖片的擾動進行建模。而是直接拿著這些對抗圖片的拍照結果放進模型試試。

實驗設置

不得不說,這篇論文的實驗設置還是很系統化的。

步驟:

  • 使用ImageNet訓練一個Inception V3網絡。
  • 尋找驗證集里面特定樣本的對抗樣本,(使用不同的對抗方法,以及不同的ε)
  • 把原始樣本和對抗樣本打印出來,并用手機拍這些打印出來的圖片,圖片有二維碼定位用。
  • 使用Inception V3模型識別手機拍出來的圖片。


可以看到,Photo Transformation還是對對抗樣本的對抗性有一定的損失作用的。其中FGSM的影響相對比較小,因為FGSM改動大。而迭代的都影響大,這是因為它們改動小,然后這些擾動又被傳感器的精度問題給破壞了。


這個表表示,Photo Transform對對抗性的破壞能力。Destrction rate的定義如下:

表示經過Photo Transformation后,有多少“有效”對抗樣本(指對抗樣本讓分類器分類錯誤,而原樣本可以被正確分類)又不會被錯誤分類的比例。

其它變換對對抗樣本的影響

作者探究了不同的子變換對對抗樣本的對抗性的影響。這個是通過直接改數字圖像來完成的。

總結

以上是生活随笔為你收集整理的对抗机器学习—— 迭代FGSM的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。