【betway必威登录平台】给T恤印上一个图案,就能

betway必威登录平台 1

卷积神经网络

2017年,“生成对抗神经网络GAN之父”Ian Goodfellow 牵头组织了NIPS的 Adversarial Attacks and Defences(神经网络对抗攻防竞赛),清华大学博士生董胤蓬、廖方舟、庞天宇及指导老师朱军、胡晓林、李建民、苏航组成的团队在竞赛中的全部三个项目中得到冠军。以下是清华大学参赛师生赛后撰写的总结和相关报告。

betway必威登录平台 2

一件躲避人物检测器的「隐身衣」

可以看出:

图 | ”对抗图案”演示视频截图(来源:Simen Thys/KU Leuven)

该研究的优化目标包括三部分:

两种去噪模型全都不靠谱

针对白盒攻击和黑盒攻击分别制作了测试集,测试结果如下图:

betway必威登录平台 3两种去噪神经网络的测试效果

NA表示不进行去噪的空白对照组;DAE表示Denoising Autoencoder神经网络去噪;DUNET表示Denosing Additive U-Net神经网络去噪。Clean表示对未经过对抗样本干扰的干净图片进行攻击。前排数字表示去噪之后剩余的噪音。后排百分数表示去噪防守成功率。

试验发现:

1、相比NA空白对照组,Denoising Autoencoder神经网络反而增加了噪音。

2、相比NA空白对照组,DUNET虽然去除了大部分噪音,却一点儿也没能提高防守成功率。

为什么会这样呢?由下图可以看出,随着计算的逐层推进,对抗样本的噪音在逐层放大。而去噪仅仅部分缩短了对抗样本与空白组的距离,大部分噪音依旧存在。

betway必威登录平台 4神经网络各层之间与原图的差距

很自然的想法就是将剩余噪音作为损失函数,然后找到它的最小值。

然而,CNN模型的缺点却也十分明显。

表 1:不同方法的 recall 对比。不同方法躲避警报的效果如何?

使用两种不同架构的神经网络去噪:

近日,一个来自比利时鲁汶大学(KU Leuven)的科研团队发现,使用特殊设计的图案遮挡部分身体,就可以让基于 YOLOv2 模型的监控系统丧失对人物的识别能力,从而实现在摄像头下顺利”隐身”的效果。他们把这样的图案叫做”对抗图案”(Adversarial Patch)。

作者:Simen Thys等

3、由Ens4-Adv-Incv3竖列看出,经过多个模型集合训练之后的防守模型非常强悍。正所谓“用五岳他山之石攻此山之玉”、“曾经沧海难为水”,使用多个深度模型训练出的防守模型必然是集众家之长。

图3/9

L_obj:图像中的最大 objectness 分数。对抗图像块的目标是隐藏图像中的人。为此,该研究的训练目标是最小化检测器输出的目标或类别分数。

​ 下图展示了FGSM算法的基本原理,X*是要产生的对抗样本,x是真实样本,y是图片正确的预测值。

图 |使用”对抗图案”让识别器无法识别(来源:Simen Thys/KU Leuven)

betway必威登录平台 5

betway必威登录平台 6FGSM模型攻击测试

近年来,卷积神经网络模型在学术界早已风生水起。其中许多技术的应用,特别是用于监控探头的对象识别,也已经进入了我们的日常生活。

L_tv:17] 中描述的图像总体变化。该损失确保优化器更喜欢色彩过渡平滑的图像并且防止噪声图像。我们可以根据图像块 P 计算 L_tv,如下所示:

betway必威登录平台 7清华竞赛团队模型训练

图5/9

这篇论文展示了一种针对大量类内变化生成对抗图像块的方法。该研究旨在生成能够使人不被人物检测器发现的对抗图像块。例如可被恶意使用来绕过监控系统的攻击,入侵者可以在身前放一块小纸板,然后偷偷摸摸地靠近而不被摄像头发现。

​ 一个很自然的想法就是,通过像素级别的去噪,把干扰样本图片还原回原来的图片,经过median filter、BM3D等传统去噪方法试验,发现用这些方法破解对抗样本的成功率很低。于是转向使用神经网络。

请随简历附上3篇往期作品

的兴起使得计算机视觉领域取得巨大成功。CNN 在图像上学习时所用的数据驱动端到端流程在大量计算机视觉任务中取得了最优结果。由于这些架构的深度,神经网络能够学习网络底部的基础滤波器,也能学习网络顶层非常抽象的高级特征。

在比赛中,如果防守方选手偷懒,直接提交开源的灰色模型本身,那么攻击方千辛万苦增加迭代次数,消耗计算时间的工作就反而适得其反,为他人作嫁衣裳。

近日,一个来自比利时鲁汶大学(KU Leuven)的科研团队发现,使用特殊设计的图案遮挡部分身体,就可以让基于 YOLOv2 模型的监控系统丧失对人物的识别能力,从而实现在摄像头下顺利”隐身”的效果。他们把这样的图案叫做”对抗图案”(Adversarial Patch)。

但是,用这种方式评估模型只能使我们了解到模型在特定测试集上的性能,而该测试集通常不包含以错误方式控制模型的样本,也不包括用来欺骗模型的样本。这对于不太可能存在攻击的应用是合适的,比如老人跌倒检测,但对安防系统来说,这带来了现实问题。安防系统中人物检测模型如果比较脆弱,则可能会被用于躲避监控摄像头,破坏安保。

红色表示用同一个模型进行攻防。

图6/9

图 5:不同方法(OBJ-CLS、OBJ 和 CLS)与随机图像块和原始图像的 PR 曲线对比。

训练集Image.Net的三万张图片

监控探头在如今的大小城市中随处可见。据报道,北京市在 2015 年就已建成了由 3 万余个监控探头组成的立体防控网络,覆盖了城市街道的所有重点部位。这些探头在交通管理、治安联防、环境保护等各个方面,都发挥着越来越重要的作用。

论文:Fooling automated surveillance cameras: adversarial patches to attack person detection

betway必威登录平台 8比赛组别

图7/9

近几年来,人们对机器学习中的对抗攻击越来越感兴趣。通过对卷积神经网络的输入稍作修改,就能让网络的输出与原输出几乎背道而驰。最开始进行这种尝试的是图像分类领域,研究人员通过稍微改变输入图像的像素值来欺骗分类器,使其输出错误的类别。

  • Denoising Autoencoder神经网络是常见的去噪卷积神经网络
  • Denosing Additive U-Net神经网络在各层网络之间增加了横向连接,力图还原重建出对抗样本噪音本身然后反向叠加到原图上进行去噪。

betway必威登录平台 9

L_nps:不可印刷性分数(non-printability score),这个因素代表图像块的颜色在普通打印机上的表现。公式如下:

top1和top5是什么?

每次识别图片,模型都会给出它认为最像的前五个结果。top1指的是模型认为最像的确实是真实答案的成功率。top5指的是模型认为最像的前五个里有真实答案的成功率。

betway必威登录平台 10


清华大学团队包揽三项冠军,NIPS 2017对抗样本攻防竞赛总结

清华大学廖方舟:产生和防御对抗样本的新方法 | 分享总结

清华大学朱军教授:深度学习中的对抗攻击与防守—2018中国计算机大会人工智能与信息安全分会场

动量迭代攻击和高层引导去噪:对抗样本攻防的新方法

清华参赛队攻击组论文:Boosting Adversarial Attacks with Momentum

清华参赛队防御组论文:Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser

betway必威登录平台 11

参与:路、淑婷

模型迁移性一直很差,这很好理解,指鹿为马要求的特异性太高,很难找到一个适应百家深度学习模型的普适对抗样本生成模型。

图9/9

其中 p_patch 是图像块 P 中的像素,而 c_print 是一组可印刷颜色 C 中的一种颜色。该损失函数帮助图像块图像中的颜色与可印刷颜色中的颜色接近。

betway必威登录平台 12引入动量

坐标:北京·国贸

betway必威登录平台 13

限制条件:

betway必威登录平台 14

图 6 展示了将该研究创建的对抗图像块应用于 Inria 测试集的一些示例。

如何解决这个问题呢?引入Momentum动量的FGSM算法!

图2/9

如下图所示,左侧没有携带对抗图像块的人可被准确识别出来,而右侧携带对抗图像块的人并未被检测出来。

  • Targeted Attack组:组委会给5000张原图和每张图对应的目标误导结果数据集,指定要求指鹿为马
  • Non-targeted Attack组:只要认不出是鹿就行
  • Defense组:正确识别被其它组对抗样本攻击的图片

图 |优化目标 L 的不同计算方法比较,可见 OBJ 方法生成的”对抗图案”使模型查全率和查准率 (Precision) 都下降最快。(来源:Simen Thys/KU Leuven)

betway必威登录平台 15

对抗样本随模型训练的过程在线生成。由下图可以看出,将对抗样本引入训练数据集,防守模型识别成功率比baseline基准模型大大提升。

对抗攻击是计算机视觉领域的一大研究热点,如何使模型对对抗攻击具备鲁棒性是很多学者的研究方向。但之前的研究主要主要涉及具备固定视觉图案的对象,如交通标志。交通标志的外观大致相同,而人的长相千差万别。来自比利时鲁汶大学的研究者针对人物识别检测器进行研究,他们创建了一个 40cm×40cm 的小型「对抗图像块」,它竟然使人在 YOLOv2 检测器下「隐身」。

参赛选手廖方舟同学Kaggle最高排名世界第10,是Data Science Bowl 2017冠军。

IanGoodfellow 带领的团队曾经做过这样的实验,对图片中个别的像素点数值做一些人眼无法察觉的细微修改之后,CNN模型就彻底丧失了识别的准确率。正所谓即使数据只是”失之毫厘”,CNN 识别器的功效也会”谬以千里”。

因此,典型 CNN 包含数百万参数。尽管这一方法能够生成非常准确的模型,但其可解释性大大下降。要想准确理解一个网络为何把人分类为人是非常困难的。网络通过观察其他人的大量照片,从而学习到人的长相应该是什么样子。模型评估过程中,我们可以对比输入图像和人物标注图像,从而判断模型在人物检测(person detection)任务上的性能。

betway必威登录平台 16干扰样本对图像的改变

在得到最佳的”对抗图案”之后,研究团队把它打印了出来。然后特意制作了一段演示视频,展示其在现实中”迷惑”YOLOv2 模型的能力。

这篇论文介绍了对抗攻击给人物检测系统造成的风险。研究者创建了一个小型(40cm×40cm)「对抗图像块」(adverserial patch),它就像一件隐身衣,目标检测器无法检测出拿着它的人。

​ 之后,采用多步FGSM攻击,找到损失函数最大值,每一步迭代的步长会相应减小,避免步子大了扯到蛋。

betway必威登录平台 17

研究者使用和训练时相同的过程,将对抗图像块应用于 Inria 测试集以进行评估。在实验过程中,研究者最小化一些可能隐藏人的不同参数。作为对照,研究者还将其结果与包含随机噪声的图像块进行了比较,二者的评估方式完全一样。

​ 第一行表示构造损失函数L,同时保证新生成的对抗样本x*必须与原图x保持在一定距离的高维空间之内。 在数学上,argmax是使得 f取得最大值所对应的变量x。第一行就是说在满足约束条件前提下,找到让损失函数L最大(也就是让神经网络推测结果越失败)的对抗样本x*。

实验中,被 Toon Goedemé 和他的团队”迷惑”的摄像头,使用著名的 YOLOv2 卷积神经网络。YOLOv2 属于实时对象识别模型,它的结构是由 9 个不同尺寸的卷积层连接而成。当一张图片从输入层进入 YOLOv2 后,在输出层会得到一系列的向量。向量里记录的是以原始图片上各个位置为中心,5 种不同尺寸的检测框中存在探测目标的概率,他们把这些概率中的最大值计作 L_obj。

在图 7 中,研究者测试了可印刷图像块在现实世界中的效果。

​ 第二行:运用线性假设,构造x*的迭代过程,相当于用反向传播的思想不断用新生成 把反传给图像上的梯度传给原图像

betway必威登录平台 18

选自arxiv

​ 早在2015年,“生成对抗神经网络GAN之父”Ian Goodfellow在ICLR会议上展示了攻击神经网络欺骗成功的案例,在原版大熊猫图片中加入肉眼难以发现的干扰,生成对抗样本。就可以让Google训练的神经网络误认为它99.3%是长臂猿。

论文:

betway必威登录平台 19

betway必威登录平台 20大熊猫变长臂猿

图4/9

该研究已公布源代码: EAVISE/adversarial-yolo,感兴趣的读者可以一探究竟。

  • 攻击多个模型的集合,而不是逐个击破。比方说,把ResNet、VGG、Inception三个模型视作单个的大模型一起攻击,再用训练好的模型攻击AlexNet,成功率就会大大提高。可以在模型底层、预测值、损失函数三个层面进行多个模型的集合攻击。

首先,我们目前无法彻底地解释它实现图像识别的机制。CNN 模型的结构通常十分复杂。在训练中,模型不断地识别不同类型的图片,自主调整上百万个参数的数值,最终就可以达到极高的识别准确率。

betway必威登录平台 21

攻击方式:七种

图 |YOLOv2 工作流程示意图。中间上图表示不同尺寸和位置的检测框,中间下图表示按照概率划分出可能存在目标的区域。(来源:Simen Thys/KU Leuven)

研究者将根据实验确定的因子 α 和 β 缩放的三个损失相加,然后利用 Adam 算法进行优化。

得到二十一万张对抗样本图片,成为去噪的训练样本

版权声明:本文仅代表作者观点,不代表手机腾讯网立场。版权归自媒体所有,未经许可不得转载。

本文为机器之心编译,转载请联系本公众号获得授权。

比赛为三组选手互相进行攻防

betway必威登录平台 22

生成针对人物检测器的对抗图像块

由下图可以看出,随着迭代次数的增加,绿色的防守模型很快被攻破,防守成功率大大下降。跟绿色模型有远房亲戚关系的黄色模型也受到了波及。但与绿色亲戚毫无关系的灰色防守模型却屹立不倒,而且随着迭代次数增加,防守成功率反而还提升了。这反映了黑盒攻击时随迭代次数增加的过拟合现象,就好比片面僵化照搬苏联经验到中国,革命事业就会遭遇挫折。

图1/9

如果相邻像素比较相似,则分数较低;反之,则分数很高。

betway必威登录平台 23传统方法与引入动量的方法betway必威登录平台 24清华大学参赛队比分 攻击两项最高分

由鲁汶大学副教授 Toon Goedemé带领的团队,便是利用了 CNN 模型的这些”弱点”。发明了一套严谨的方法,用来生成可以迷惑 CNN 的”对抗图案”。用图案挡住人体的某个部分,监控探头就无法检测到这个人的存在。

此外,研究人员还尝试用「图像块」来实现这一目的。他们将「图像块」应用于目标,然后欺骗检测器和分类器。其中有些尝试被证明在现实世界是可行的。但是,所有这些方法针对的都是几乎不包含类内变化的类别。目标的已知结构被用来生成对抗图像块。

betway必威登录平台 25FGSM优化算法:第一行表示构造损失函数,使得x*必须与x保持在一定距离的高维空间之内

参考:

betway必威登录平台 26

betway必威登录平台 27目标FGSM攻击

图 |”对抗图案”的生成工艺(来源:Simen Thys/KU Leuven)

本文的目标是创建这样一个系统:它能够生成可用于欺骗人物检测器的可印刷对抗图像块。之前的一些研究主要针对的是停车牌,而本文针对的是人。与停车牌的统一外观不同,人的长相千差万别。研究者执行优化过程,尝试在大型数据集上寻找能够有效降低人物检测准确率的图像块。这部分将深入介绍生成对抗图像块的过程。

本文作者张子豪参加了2018中国计算机大会—人工智能与信息安全分论坛,了解到清华参赛团队的算法思路,详细阅读了2017NIPS神经网络攻防竞赛清华大学三项冠军团队的赛后总结报告和论文。神经网络对抗样本生成与攻防是一个非常有趣且有前景的研究方向,但常人难以轻易理解内在原理。所以作者决定用高中生能听懂的人话将这一前沿领域以及清华优秀团队的算法模型介绍给大家。

要想生成可以迷惑 YOLOv2 的”对抗图案”,首先需要有一个可以准确识别人物的 YOLOv2 模型,并且随机生成一张初始的”对抗图案”。然后,使用 YOLOv2 模型将每张训练图片中的人体都框选出来。再用现有的”对抗图案”覆盖住已识别的一部分人体。最后把覆盖后的训练图片送回到模型中再次识别,并计算相应的优化目标值 L。然后使用反向传播法 (backpropagation) 和 Adam 算法,相应调整”对抗图案”上的像素数值。不断重复覆盖识别和调整像素值的过程,持续降低目标值 L,直至得到最优的”对抗图案”。

该优化器的目标是最小化总损失 L。在优化过程中,研究者冻结网络中的所有权重,只改变对抗图像块中的值。优化开始时,根据随机值初始化对抗图像块。

2、由Adv-Incv3竖列看出,经过对抗训练之后的防守模型非常强悍。甚至可以达到94.1%的防守成功率。因此,将对抗样本引入训练数据集进行对抗训练是有效的防守策略。

图 |基于卷积神经网络 的街面对象识别(来源:Dayan Mendez/EbenezerTechnologies)

betway必威登录平台 28

随着迭代次数增多,黑盒攻击的成功率终于逐步提高,攻击方可以撸起袖子放心大胆提高迭代次数了。如果偷懒的防守方选择提交baseline基准模型,也能照打不误。

为了生成效果最佳的”对抗图案”,研究人员对比了优化目标 L 的不同计算方法。其中最小化识别率(Minimising ObjectnessScore, OBJ)方法取得了最满意的效果。在 OBJ 方法下,L 被定义为 L_obj,L_nps 和 L_tv 的加权平均值。其中,L_obj 是检测框中存在探测目标的最大概率,L_nps 表示”对抗图案”的打印难度,L_tv 衡量的是它像素点间的变化程度(为了使图片看起来柔和)。

研究者还发布了一个 demo 视频,展示了这个对抗图像块的「魔力」:

betway必威登录平台 29对抗训练:将对抗样本引入训练集

这就像是一个”黑箱子”,我们只知道放入一个图片,就能得到它的类别名称,但是我们看不到也弄不清箱子里的过程。更重要的是,由于训练数据中并不存在为了迷惑识别器而特意设计的图片(比如给衣服印上特制图案),识别器对不常见的变化就几乎完全不能宽容。

总损失函数由这三个损失函数组成:

改进的降噪方案—PDG和HGD

下图展示了两种降噪方案:旨在像素级降噪的PGD、旨在识别结果的HGD

betway必威登录平台 30两种降噪方案:旨在像素级降噪的PGD、旨在识别结果的HGD

HGD的三个变种:

  • FGD:每一层CNN提取的特征之间作比较
  • LGD:都与最后结果作比较
  • CGD:先让CNN预测一个结果,然后与真实值作比较

betway必威登录平台 31HGD的三个变种

采用新的降噪方法,防守准确率大大提升,甚至超过了前人的ensV3模型。误差放大现象也得到了很好的修补。

betway必威登录平台 32新的降噪方法:大大提升防守准确率betway必威登录平台 33误差放大的修补,黑线表示采用新降噪方法

图 3:计算目标损失的过程。

betway必威登录平台 34NIPS2017竞赛

图1/9

betway必威登录平台 35

1、白盒攻击成功率远远大于黑盒成功率。提高黑盒攻击的可迁移性,解决跨模型的黑盒攻击是一个重要问题。

图8/9

图 6:在 Inria 测试集上的输出示例。

左图展示了传统方法的黑盒攻击,随迭代次数增加,攻击失败率上升。右图展示了引入动量的FGSM方法,随迭代次数增加,攻击失败率下降。

betway必威登录平台 36

机器之心编译

本文大部分图片来自于视频清华大学廖方舟:产生和防御对抗样本的新方法 | AI研习社。

监控探头在如今的大小城市中随处可见。据报道,北京市在 2015 年就已建成了由 3 万余个监控探头组成的立体防控网络,覆盖了城市街道的所有重点部位。这些探头在交通管理、治安联防、环境保护等各个方面,都发挥着越来越重要的作用。

betway必威登录平台 37

HGD模型的可迁移性:多种模型都适用

新的HGD降噪方法具有良好的迁移性,仅使用了750张训练图片,就达到了很好的防守效果。

不同模型之间互换HGD降噪模型,也能发挥不错的降噪效果。这就好比:虽然自己的帽子戴着最舒坦,但借别人的帽子戴戴也是可以遮风挡雨的嘛。

betway必威登录平台 38不同模型互换HGD降噪模型

研究人员进而尝试把不同模型的HGD降噪模型混合,发现效果不如大家统一采用同一个HGD降噪模型。

在最终的比赛中,清华团队提交了四个降噪模型。

betway必威登录平台 39NIPS竞赛清华团队降噪模型

HGD网络总结

优点:

  • 效果显著比其他队伍的模型好。在比赛中碾压了其它队伍。
  • 使用更少的训练图片和更少的训练时间。
  • 可迁移好。

缺点:

  • 还依赖于微小变化的可测量
  • 只有在攻击方不知道防守方采用了HGD去噪方案时才有效

整个过程中,YOLOv2 模型的参数值没有任何的改变,它仅仅被用来改进”对抗图案”。

betway必威登录平台 40

如何提高黑盒攻击的成功率和模型可迁移性?

-End-

YOLOv2 模型架构如下图所示:

​ 对抗样本会在原图上增加肉眼很难发现的干扰,但依旧能看得出来和原图的区别:

不可否认,卷积神经网络作为近几年人工智能技术发展的主流和前沿,许多应用已经开始融入普通人的生活。然而,它所存在的局限性也一定不能被否认和忽视。恰恰因为这些”漏洞”的存在,人们将更加努力地探索和发展这项新技术。未来,越来越多的 CNN 模型将会被创造或者改造,并终将为人类带来更多的便利和价值。

论文链接:

本文用高中生能听懂的人话介绍了2017NIPS神经网络攻防竞赛清华大学三项冠军团队的算法模型,详细介绍了基本算法FGSM、对抗样本的生成、攻防模型训练、NIPS比赛规则、清华参赛队的模型可迁移性优化策略、降噪优化算法。

同济大学开源软件协会西南人工智能爱好者联盟重庆大学人工智能协会

发布于2018-10-29

图 7:在现实世界中使用该可印刷图像块的情况。

一个防守策略:在训练模型的时候就加上对抗样本。

图 3 概述了目标损失的计算过程,类别概率也是根据相同的过程计算的。

  • 攻击步长ε不能超过16:也就是说生成的干扰图片需要非常接近原图,不能看出明显差别。
  • 识别图片不能太耗时间:识别100张图片的时间不能超过500s

研究主题

增强版的对抗训练方法:集合攻击,相当于用五岳他山之石攻此山之玉。比如用ResNet、VGG、LeNet生成的对抗样本去训练Inception。这样训练出的网络非常稳定。但要耗费好几十倍的时间。

betway必威登录平台 41

betway必威登录平台 42提高迭代次数

实验

betway必威登录平台 43步子大了容易扯着蛋betway必威登录平台 44多步FGSM攻击

本文主要研究人物检测的对抗攻击,它针对常用的 YOLOv2 目标检测器。YOLOv2 是全卷积的模型,其输出网格的分辨率是原始输入分辨率的 1/32。输出网格中每个单元包含五个预测,其边界框包含不同的宽高比。每个锚点包含向量

[TOC]

图 2:YOLOv2 架构。该检测器输出 objectness 分数(包含某个对象的概率,见图中上)和类别分数(哪些类在边界框中,见图中下)。图源:

下图展示了使用FGSM模型进行攻击的测试,横行为攻击模型名称,竖列为防守模型名称,表格中的数字表示对于每1000张攻击图片,防守模型成功防守的图片数目,数字越大,表示竖列模型防守越有效,数字越小,表示横行模型进攻越有效。

实验证明,该研究提出的系统能够大大降低人物检测器的准确率。该方法在现实场景中也起作用。据悉,该研究是首次尝试这种针对高级类内变化的工作。

像素层面上的去噪并不能真正去掉噪音

为什么旨在像素级别的降噪方法PGD在真实防守时效果远远不如LGD呢?这张图说明了这个问题。横轴表示图像上的噪声幅值,纵轴表示降噪方法去掉的噪音幅值,在PGD去噪方法中,纵轴只有横轴的一半,也就是PGD方法只去掉一半噪声。而在LGD去噪方法中,噪声基本都被去掉了。

betway必威登录平台 45PGD与LGD的去噪分析

人工智能秒变人工智障:误导神经网络指鹿为马

2018中国计算机大会:人工智能与信息安全分论坛

清华大学团队包揽三项冠军,NIPS 2017对抗样本攻防竞赛总结

Goodfellow最新对抗样本,连人类都分不清是狗是猫

动量迭代攻击和高层引导去噪:对抗样本攻防的新方法

清华大学廖方舟:产生和防御对抗样本的新方法 | 分享总结

两分钟论文:对抗样本同时骗过人类和计算机视觉 @雷锋字幕组

谷歌新论文发现:对抗样本也会骗人

清华参赛队攻击组论文:Boosting Adversarial Attacks with Momentum

清华参赛队防御组论文:Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser

2018中国计算机大会:人工智能与信息安全分论坛

Adversarial Attacks and Defences Competition

Explaining and Harnessing Adversarial Examples

Adversarial Examples that Fool both Computer Vision and Time-Limited Humans

作者介绍:

张子豪,同济大学在读研究生。致力于用人类能听懂的语言向大众科普人工智能前沿科技。目前正在制作《说人话的深度学习视频教程》、《零基础入门树莓派趣味编程》等视频教程。西南地区人工智能爱好者高校联盟联合创始人,重庆大学人工智能协会联合创始人。充满好奇的终身学习者、崇尚自由的开源社区贡献者、乐于向零基础分享经验的引路人、口才还不错的程序员。

说人话的零基础深度学习、数据科学视频教程、树莓派趣味开发视频教程等你来看!

微信公众号:子豪兄的科研小屋 Github代码仓库:TommyZihao

同济大学开源软件协会

西南人工智能爱好者联盟重庆大学人工智能协会

betway必威登录平台 46

用人话说就是:在肉眼看上去依旧差不多是同一只大熊猫图片的基础上,把神经网络的推测结果能误导多远就误导多远。

​ 第三行:之所以不采用L2 norm,是因为会产生很大的畸变。

​ 通过上述步骤,你已经可以让神经网络不认识熊猫了,那如果我想指定让神经网络把熊猫认成长臂猿呢?就要用到Targeted FGSM攻击,只需用预测输出结果长臂猿y*取代传统FGSM算法中的正确预测结果y,同时最小化损失函数即可。

但对抗训练要耗费数倍的时间,一方面是因为要在线生成对抗样本,一方面是因为要训练模型适应对抗样本。

betway必威登录平台 47两种去噪的神经网络betway必威登录平台 48Denosing Additive U-Net神经网络

在阅读下文之前,请先用三分钟阅读本文作者的另一篇科普文:人工智能秒变人工智障:误导神经网络指鹿为马。这篇文章用人话讲解了神经网络对抗样本、逃逸攻击、白盒黑盒攻击的基本概念,并展示了学术最前沿的几个攻击神经网络成功案例(全文无数学推导,请放心食用)。

本文由betway必威登录平台发布于互联网农业,转载请注明出处:【betway必威登录平台】给T恤印上一个图案,就能

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。