目录

  • 背景
  • HGD
    • 原理
    • 分类
  • 防御效果

论文 2018CVPR-Defense against Adversarial Attacks Using High-Level Representation Guided Denoiser.

背景

对抗样本通过向原始图像添加噪声来构造,使得输入模型后分类错误。如果在对抗样本输入模型之前,进行去噪处理,将攻击者千方百计添加到原始图像上的轻微干扰去除,则可以得到与原始图像近似的去噪后图像,从而分类依旧正确。

之前提出像素导向去噪器PGD(pixel guided denoiser),令 x x x表示原始的干净图像, x ∗ x^* x∗表示对抗样本, x ′ x' x′表示去噪后的图像。将损失函数定义为 L = ∣ ∣ x − x ′ ∣ ∣ L=||x-x'|| L=∣∣x−x′∣∣,表示去噪后的图像与原始图像之间的差异。其中, ∣ ∣ . ∣ ∣ ||.|| ∣∣.∣∣表示 L 1 L_1 L1​范数。由于该损失函数是定义在图像像素级别上的,因此命名为像素导向去噪器。

然而PGD有一个致命缺陷。去噪是相对性的,并不是绝对的,无论去噪过程多完善,总会存在残余的噪声在图像上。而在DNN中,存在误差放大效应。即残余的对抗噪声在一层层中会被放大,使得最后的输出存在的噪声仍足以使DNN分类错误。

因此,作者提出了HGD高级表示指导去噪器(High-Level Representation Guided Denoiser)。

HGD

原理

由于DNN存在误差放大效应,故将损失函数定义在输出层上。
令 y y y表示原始的干净图像通过DNN后的输出, y ∗ y^* y∗表示对抗样本的输出, y ′ y' y′表示去噪后的图像的输出。将损失函数定义为 L = ∣ ∣ y − y ′ ∣ ∣ L=||y-y'|| L=∣∣y−y′∣∣,表示去噪后的图像与原始图像的对应输出之间的差异。HGD的目标是,追求损失函数的最小化。损失函数越小,说明去噪后图像与原图像的输出差异越小,越接近初始图像,去噪效果越好。

分类

根据选择的网络层 l l l 的不同,提出了两种HGD。

  • FGD特征导向去噪器
    将 l = − 2 l=-2 l=−2定义为最顶层卷积层的索引,在全局平均池化之后,该层的激活被馈送到线性分类层,因此与较低的卷积层相比,它与分类目标更多相关。FGD使用的损失函数也称为知觉损失或特征匹配损失。

  • LGD对数导向去噪器
    将 l = − 1 l=-1 l=−1定义为最终softmax函数之前的层的索引,即对数。此时的损失函数为 x x x和 x ′ x' x′激活的两个logit之差。

    所有的PGD和HGD都是无监督模型,因为在训练过程中不需要地面真相标签。

  • CGD类标签引导去噪器
    另一种方法是将目标模型的分类损失用作去噪损失函数,在需要基础真实标签的情况下进行监督学习,该模型称为类标签引导去噪器(CGD)。

防御效果

针对 L 0 L_0 L0​以及 L 2 L_2 L2​攻击的防御效果不佳。原因在于这两类攻击限制了修改像素的数量,在修改程度上限制比较少,个别像素的被扰动程度可能过大,去噪效果不明显。该防御方法适用于 L ∞ L_\infty L∞​攻击。

HGD处理对抗样本以防御对抗攻击相关推荐

  1. 对抗样本与生成式对抗网络

    1.前言 对抗样本和对抗性网络,从最开始YannLeCun在Quora上直播时表示生成对抗性网络是近期人工智能最值得期待的算法之一,到生成对抗性网络的发明者IanGoodfellow在Quora上直播 ...

  2. OpenAI详细解析:攻击者是如何使用「对抗样本」攻击机器学习的

    原文来源:OpenAI 作者: Ian Goodfellow.Nicolas Papernot.Sandy Huang.Yan Duan.Pieter Abbeel.Jack Clark. 「雷克世界 ...

  3. 面向深度学习系统的对抗样本攻击与防御

    研究生涯即将开始,现在做的是对抗样本攻击与防御,开始每天写博客,记录一下自己的学习历程~ 1.对抗样本 尽管深度学习解决某些复杂问题的能力超出了人类水平,但也面临多种安全性威胁.2013年,塞格德等人 ...

  4. 对抗攻击与防御 (1):图像领域的对抗样本生成

    文章目录 1 引入 2 白盒攻击 2.1 Biggio 2.2 Szegedy's limited-memory BFGS (L-BFGS) 2.3 Fast gradient sign method ...

  5. 对抗样本攻击及防御实战

    原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里 的热点话题 漏洞.技术相关的调查或分析 稿件通过并发布还能收获 200-800元不等 ...

  6. 后门攻击与对抗样本攻击的比较研究

    目录 一.Introduction 1.什么是后门攻击? 2.什么是对抗样本攻击? 3.后门攻击与对抗样本攻击的区别 4.补充数据投毒攻击 二.思维导图 三.应用场景 1.对抗样本攻击应用场景 2.后 ...

  7. 清华朱军团队包揽三项冠军 | NIPS 2017对抗样本攻防竞赛总结(附学习资料)

    来源:AI科技评论 作者:高云河 本文共8989字,建议阅读10分钟. 本次比赛总结由谷歌大脑.清华大学以及其它参与研究人员们联合撰写,为你介绍NIPS 2017 对抗样本攻防比赛的情况. 自 Ian ...

  8. 论文盘点:GAN生成对抗样本的方法解析

    ©PaperWeekly 原创 · 作者|孙裕道 学校|北京邮电大学博士生 研究方向|GAN图像生成.情绪对抗样本生成 引言 对抗样本的生成方式很多.一般情况下会分成三大类,第一种是基于梯度的生成方式 ...

  9. 建议收藏!近期值得读的 9 篇「对抗样本」最新论文

    在碎片化阅读充斥眼球的时代,越来越少的人会去关注每篇论文背后的探索和思考.在这个栏目里,你会快速 get 每篇精选论文的亮点和痛点,时刻紧跟 AI 前沿成果. 本期我们筛选了 9 篇「对抗样本」领域的 ...

最新文章

  1. Linux那些事儿 之 戏说USB(1)它从哪里来
  2. 规则就够用?还是必须上机器学习?46页ppt教你如何把规则引擎和机器学习融会贯通...
  3. 【错误记录】jcenter 移除问题 ( Please remove usages of `jcenter()` Maven repository from your build scripts )
  4. 在windows下 格式化SD卡或U盘最快捷、安全的方法!
  5. “SQL Server does not allow remote connections”错误的解决
  6. 材料成型计算机模拟第三版,材料成型计算机模拟实验报告模板学习.doc
  7. angularjs 缓存详解
  8. SAP CRM IBASE read header debug
  9. Linux(四):虚拟机Ubuntu 卸载
  10. java线程通讯的方式
  11. My in 2007
  12. SecondaryNameNode 的作用
  13. 初开:什么是系统思考
  14. 局域网传输文件_堪比AirDrop,苹果 iPhone与Windows电脑互传文件的三种方式
  15. Java实现复杂邮件发送(支持附件、支持多收件人、多抄送人、多密送人)
  16. 计算机操作系统慕课版(汤小丹)--第一章课后题
  17. Iometer存储测试工具参数说明-4test setup
  18. html中五号字体是多少像素,字体号数与像素对应关系
  19. Python自动化体系学习思维导图、知识点整理
  20. WeChatDeveloper

热门文章

  1. 爬虫技术python流程图_爬虫学多久能爬取大规模数据!神级程序员:这篇够你学一个月!...
  2. 《HAWQ-V3: Dyadic Neural Network Quantization》论文阅读
  3. linux网卡ens33,Linux网卡没有eth0显示ens33原因以及解决办法
  4. MySQL基础(尚硅谷笔记)
  5. python字符集-编解码一纸禅unicode,utf-8,ascii
  6. NetApp FAS2554故障灯常亮case处理过程分享
  7. 设置Linux core file生成路径
  8. Springboot项目错误码的设计与实现
  9. (二)小程序云开发之aggregate.geoNear()获取两地理点之间距离
  10. FPGA异构计算架构对比分析