对抗攻击(1)

本文是根据李宏毅老师在B站上的视频整理而来,视频地址为:
https://www.bilibili.com/video/BV1n3411y7xD?p=65

1 无目标和有目标攻击的区别

无目标攻击:攻击后的标签不确定,只要是和原始标签差别越大越好。
有目标攻击:攻击后的标签是确定的某一个类别,并且要求和原始标签差别越大越好。
在这里插入图片描述
图1说明了如何将对抗攻击转换为优化目标函数。
x∗=arg⁡min⁡d(x0,x)≤εL(x)x^{*} = \arg \min_{d(x^0, x) \leq \varepsilon} L(x)x=argmind(x0,x)εL(x):约束条件是原始样本和攻击样本之间差距很小(小于等于ε\varepsilonε),在损失最小的情况下得到攻击样本;
L(x)=−e(y,y^)L(x) = -e(y, \widehat{y})L(x)=e(y,y):应用于无目标的攻击,攻击后的预测标签和原始标签的差别越大越好,前面加一个负号就是越小越好;
L(x)=−e(y,y^)+e(y,ytarget)L(x) = -e(y, \widehat{y}) + e(y, y^{target})L(x)=e(y,y)+e(y,ytarget):应用于有目标的攻击,攻击后的预测标签和原始标签的差别越大越好,并且攻击后的预测标签和被攻击的目标标签差距越小越好。

符号说明:
x0x^0x0:原始样本;
xxx:攻击样本;
y0y^0y0:没有受到攻击的预测标签;
y^\widehat{y}y:原始标签;
yyy:攻击后的预测标签;
ytargety^{target}ytarget:有目标攻击的目标标签;
y0=f(x0)y^0 = f(x^0)y0=f(x0):利用原始样本预测出标签;
y=f(x)y = f(x)y=f(x):利用受攻击后的样本预测出新的标签;

在这里插入图片描述
图2说明了如何来度量原始样本x0x^0x0和攻击样本xxx之间的距离:

  1. 利用2范数来度量:
    d(x0,x)=∣∣Δx∣∣2=(Δx1)2+(Δx2)2+…\begin{aligned} d(x^0,x) &= ||\Delta x||_2 \\ &=(\Delta x_1)^2 + (\Delta x_2)^2 + \dots \end{aligned} d(x0,x)=Δx2=(Δx1)2+(Δx2)2+
  2. 利用无穷范数来度量:
    d(x0,x)=∣∣Δx∣∣∞=max⁡{∣Δx1∣,∣Δx2∣,…}\begin{aligned} d(x^0,x) &= ||\Delta x||_\infty \\ &=\max\{|\Delta x_1|, |\Delta x_2|, \dots\} \end{aligned} d(x0,x)=Δx=max{Δx1,Δx2,}

通过如下分析来体会两个距离的最大区别:
一种情况是图像中的每个像素点都改变一点点,另外一种情况是图像中某一个像素点改变特别大;这两种情况也许2范数距离相同,但是无穷范数第一种情况很小,而第二种情况却很大。
在这里插入图片描述
图3说明了攻击方法不是去修改模型的参数,而是修改输入的样本。
可以从两个方面入手进行攻击:

  • 修改优化目标函数
  • 修改约束条件

最后利用梯度下降法来求得攻击样本xxx
在迭代的时候如果d(x0,xt)>εd(x^0, x^t) > \varepsilond(x0,xt)>ε,则将xtx^txt拉回到矩形框内。
在这里插入图片描述
图4说明了FGSM方法。
对图3做了如下改进:

  • ε\varepsilonε替换学习率η\etaη
  • 梯度gggsignsignsign函数来控制,使得其值为+1或者-1,也就是每次变化移动到矩形框四个角的某一个;
  • 只需要迭代一次。
    在这里插入图片描述

图5在图4的基础上又做了如下改进:

  • 将图4的学习率又从ε\varepsilonε改回η\etaη;
  • 通过TTT次迭代;
  • 每次迭代如果d(x0,xt)>εd(x^0, x^t) > \varepsilond(x0,xt)>ε,则将xtx^txt拉回到矩形框内。
    在这里插入图片描述

以上攻击方法都属于白盒攻击,因为攻击者知道网络参数θ\thetaθ
图6引入了黑盒攻击。
在这里插入图片描述
图7说明了黑盒攻击方法:如果你知道目标网络的训练数据,可以利用这些数据训练出一个代理网络(proxy network),再利用这个代理网络产生攻击样本。
问:如果又不知道训练数据怎么办?
答:利用已有的黑盒模型,输入一些测试样本,得到测试样本的输出,利用这些输入和输出来训练一个代理网络(proxy network),再利用这个代理网络产生攻击样本。
在这里插入图片描述
图8说明黑盒攻击的效果。
上半部分表示单一网络攻击的效果,对角线表示白盒攻击,例如ResNet-152攻击ResNet-152;非对角线表示黑盒攻击,例如ResNet-152攻击ResNet-101;攻击后的准确率越低,说明攻击成功率就越高,如ResNet-152攻击ResNet-101后得到的准确率为13%。
下半部分表示集成网络攻击的效果,如-ResNet-152表示由(ResNet-101 + ResNet-50 + VGG-16 + GoogleNet)这四个网络来集成。可以看出集成攻击的效果更好。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/507527.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python爬虫隐藏ip_Python3网络爬虫之使用User Agent和代理IP隐藏身份

本文介绍了Python3网络爬虫之使用User Agent和代理IP隐藏身份,分享给大家,具体如下:运行平台:WindowsPython版本:Python3.xIDE:Sublime text3一、为何要设置User Agent有一些网站不喜欢被爬虫程序访问&…

对抗攻击(2)

本文将介绍一些经典的对抗攻击算法,未完待续…

乌班图快速创建ftp

需求:乌班图22.04安装配置ftp,然后配置一个用户,用户名deviceftp密码aaaa,并且设置端口为60021,并且限制在/app/deviceftp目录下,不允许匿名登录 在Ubuntu 22.04上安装和配置FTP服务器的步骤如下&#xff…

自注意力机制Self-attention(1)

目录: 自注意力机制Self-attention(1) 自注意力机制Self-attention(2) 本文是对李宏毅老师的课程进行了整理。 视频地址为: https://www.bilibili.com/video/BV1Wv411h7kN?p23 1 问题引入 问&#xff1a…

id门禁卡复制到手机_手机NFC有哪些功能?怎么设置手机门禁卡?别浪费了手机的NFC功能...

NFC功能早前都运用一些手机旗舰机中,随着手机技术的发展,现在有许多的手机都有NFC的功能,那手机中的NFC只是个摆设吗?NFC不仅仅有不依靠数据网络、安全稳定的特点,其实还有许多你不知道的功能!比如可以用来…

自注意力机制Self-attention(2)

目录: 自注意力机制Self-attention(1) 自注意力机制Self-attention(2) 1 内容回顾 以b2b^2b2的计算过程为例来说明: query: q1Wqa1q^1 W^q a^1q1Wqa1, q2Wqa2q^2 W^q a^2q2Wqa2, q3Wqa3q^3 …

python 打印xml文档树_Python构建XML树结构的方法示例

本文实例讲述了Python构建XML树结构的方法。分享给大家供大家参考,具体如下:1.构建XML元素#encodingutf-8from xml.etree import ElementTree as ETimport sysrootET.Element(color) #用Element类构建标签root.text(black) #设置元素内容treeET.ElementT…

风格迁移模型测试效果

1 模型简介 Selfie2anime模型:动漫风格,训练集主要针对人物头像;对应论文为:U-gat-it: Unsupervised generative attentional networks with adaptive layer-instance normalization for image-to-image translation Hayao模型&a…

黑白棋级别预测

1 当前成果 上图是对于AI级别为40级以下的对局结果统计图,横坐标是对于AI级与当前模型预测级别的差值,纵坐标是玩家的胜率。由图中可以看出,玩家胜率符合预测。当AI级别比预测级别高时,玩家胜率越来越低,反之玩家胜率会…

python3源代码是什么_如何用inspect查找python3源代码?

我们在学习的时候喜欢去写代码,或者进行代码的测试,在源代码的查看的进行的不多。大概很多是写完就放在一边,如果不是下次需要使用,也不会知道写的是否正确,还有没有可以修改或者改进的地方。所以,对于源代…

python元编程_python元编程详解(3)

今天转载一片非常精彩的文章供大家欣赏:参考文章链接.python开发者门户一个很好的学习python的网站,大家有时间可以多看看。下面正式开始今天的内容:在理解元类之前,你需要先掌握Python中的类。Python中类的概念借鉴于Smalltalk&a…

风格迁移--U-GAT-IT模型(ICLR 2020)

1 论文简介 论文题目: U-gat-it: Unsupervised generative attentional networks with adaptive layer-instance normalization for image-to-image translation 论文代码:https://github.com/taki0112/UGATIT 论文数据集:https://github.co…

毕业大论文到底怎么写?

本文主要写给本科生的,研究生也可以作为参考。 1 题目 题目建议控制在25字以内,能突出显示自己的主要工作即可。 “问题方法”式。比如:恶意流量检测的矩阵分解算法研究,问题是恶意流量检测,方法为矩阵分解&#xf…

麻雀优化算法_多种智能优化算法应用案例分享-附代码

1.智能优化算法应用:基于灰狼算法的Otsu图像多阈值分割智能优化算法应用:基于灰狼算法的Otsu图像多阈值分割-附代码_Jack旭的博客-CSDN博客​blog.csdn.net2.智能优化算法应用:基于灰狼算法的二维Otsu图像阈值分割智能优化算法应用&#xff1…

Transform机制(1)

本文是对李宏毅老师的课程进行了整理。 视频地址为: https://www.bilibili.com/video/BV1Wv411h7kN?p35 1 引入 Transform的应用场景 2 基本原理 Transform机制由编码器(Encoder)和解码器(Decoder)构成。 编码器…

python神经网络调节参数_神经网络进阶-用python实现一个完整的神经网络框架并在CIFAR10数据集上调参...

上一个博客中讲解了用python实现一个简单的两层神经网络,我们是把所有的网络层都直接写在了类中。但是作为一个神经网络框架,网络的结构应该是可以由使用者自定义的,这样一来也就不用为每个网络结构都重写所有代码,我们把每一层模…

CGCKD2021大会报告整理(1)--宽度学习

本文先把这次听陈俊龙老师的报告截图发出来,后面再来整理宽度学习的基本原理。

java根据逗号拆分_Excel技巧—超实用的字符串拆分小技巧

点赞再看,养成习惯;当断不断,反受其乱。微信搜索【亦心Excel】关注这个不一样的自媒体人。本文GitHub https://github.com/hugogoos/Excel已收录,包含Excel系统学习指南系列文章,以及各种Excel资料。我们每天都在Excel…

动漫变身调研报告

1 问题描述 由于手机等移动设备计算资源有限,导致目前风格迁移模型无法在手机等移动设备上实现高分辨率图像的风格转换。 2 竞品调研 为了了解已有产品中对动漫变身技术的使用情况,通过调研,我们发现了在醒图 APP (抖音&#x…

网站维护页面_营销型企业网站有哪些功能?

营销型企业网站是企业进行网络营销的一个利器,现在也越来越多企业重视做一个营销型网站。因为网站是客户和企业在网络上互相沟通的一个平台。所以营销型网站的功能也是运营人员在运营的过程中非常重视的体验,今天牛商网就和你说说营销型企业网站有哪些功…