文章目录

  • 1 概述
    • 1.1 题目
    • 1.2 摘要
    • 1.3 代码
    • 1.4 引用
  • 2 快速特征愚弄 (Fast feature fool)
  • 3 实验
    • 3.1 在不同网络上生成的扰动
    • 3.2 数据集示意
    • 3.3 迁移性
    • 3.4 以小网络上的扰动作为初始化扰动
    • 3.5 和其他扰动算法对比

1 概述

1.1 题目

2017:数据无关通用对抗扰动 (Fast feature fool: A data independent approach to universal adversarial perturbations)

1.2 摘要

图像无关扰动可以愚弄对象识别CNN,这些扰动也被称为通用对抗扰动。这些扰动可以泛化到相同数据集上训练的多个网络,然而这些扰动方法需要用于训练CNN的数据集,以及需要复杂的优化。愚弄的性能也和训练数据的数量呈比例,这使得它们不适合实际攻击,因为攻击者访问训练数据是不合理的

本文提供了一种针对对象识别CNN的通用对抗扰动方法,展示了它们的迁移性。在没有数据的情况下,通过欺骗在多个网络层中学习的特征,来有效地生成通用扰动,从而误导CNN。

1.3 代码

Tensorflowhttps://github.com/val-iisc/fast-feature-fool

1.4 引用

@article{Mopuri:2017:112,
author      =  {Konda Reddy Mopuri and Utsav Garg and R Venkatesh Babu},
title       =  {Fast feature fool: {A} data independent approach to universal adversarial perturbations},
journal     =  {{arXiv}},
year        =  {2017}
pages       =  {1--12},
doi         =  {10.48550/arXiv.1707.05572}
}

2 快速特征愚弄 (Fast feature fool)

快速特征愚弄用于在不依赖于数据的情况下生成通用扰动。

首先,令 X \mathcal{X} X表示图像在 R d \mathbf{R}^d Rd中的分布, f f f表示习得的CNN分类函数,其将图像 x ∼ X x\sim\mathcal{X} x∼X映射为一个评估标签 f ( x ) f(x) f(x)。

本文的目标是在不利用任何来自 X \mathcal{X} X的样本来找到一个可以愚弄 f f f的扰动 δ ∈ R d \delta\in\mathbb{R}^d δ∈Rd,其满足:
f ( x + δ ) ≠ f ( x ) , f o r m a j o r i t y o f x ∈ X (1) \tag{1} f(x+\delta)\neq f(x), for\ majority\ of\ x\in\mathcal{X} f(x+δ)​=f(x),for majority of x∈X(1)这种扰动被称为对抗性的,对于人类是难以察觉的。这表明扰动 δ \delta δ的像素强度应当被限制。现有方法通过引入 l ∞ l_\infty l∞​来约束:
∥ δ ∥ ∞ ≤ ξ (2) \tag{2} \| \delta\|_\infty\leq \xi ∥δ∥∞​≤ξ(2)因此,通过使多层学习的特征过度饱和 (取代“翻转标签”目标) 来愚弄CNN。即通过给输入添加扰动,破坏每一层的的特征,以误导后继层的特征。沿着网络层级的累积扰动将使网络无法区分原始输入,导致最终层的大量预测错误。

扰动本质上应该导致特定层的特征虚假地触发并抽象出无信息的激活。在存在数据的情况下,即攻击阶段,为了误导激活保留判别信息,考虑到增加的不可感知性约束,扰动必须非常有效。所尝试问题的难点在于设计一个扰动 δ δ δ,其像素强度通常限制在小于数据范围的8% (其中 ξ = 10)。

因此,在不向目标CNN 显示任何数据 x x x的情况下,寻求可以在每一层产生最大虚假激活的扰动 δ δ δ。对此,生成一个随机扰动 δ \delta δ并优化以下损失:
L o s s = − log ⁡ ( ∏ i = 1 K l ‾ i ( δ ) ) s u c h t h a t ∥ δ ∥ ∞ ≤ ξ (3) \tag{3} Loss=-\log\left( \prod_{i=1}^K \overline{l}_i(\delta) \right)\qquad such\ that\quad\|\delta\|_\infty\leq\xi Loss=−log(i=1∏K​li​(δ))such that∥δ∥∞​≤ξ(3)其中 l ‾ i ( δ ) \overline{l}_i(\delta) li​(δ)是将 δ \delta δ作为CNN的输入时,输出张量在层 i i i的均值激活。注意激活函数是非线性的,例如ReLU,因此 l ‾ i \overline{l}_i li​是非负的。 K K K是对于扰动 δ \delta δ,CNN中需要最大化激活的层数。这里考虑全连接层前的所有卷积层。这是因为卷积层用于特征提取,而多个连接层扮演分类器的角色。此外,本文发现这对优化卷积层是足够的。因此,我们限制特征提取层的优化, ξ \xi ξ则限制了扰动 δ \delta δ每个像素的强度。

所提出的优化目标计算每一层平均激活的乘积,以模拟最大化这些层的扰动。成绩的结果,所生成的扰动的强度大于其他形式,例如求和。这是显而易见的,因为乘积是一个更强的约束,它迫使所有层的激活增加以减少损失。为了避免极端值 ( ≈ 0 \approx0 ≈0),我们在乘积的基础上应用 log ⁡ \log log。注意,目标是开放式的,因为没有要达到的最佳值。最终希望获取难以察觉又强度足够的扰动。

训练开始时,随机生成一个 δ \delta δ,然后执行优化以实现更高的激活。注意优化过程不涉及网络参数的变化,以及不使用任何图像。我们用为方程中的损失计算的梯度更新来 δ δ δ,更新后需要限制扰动,以满足不可察觉。当损失或者愚弄率达到一定值时停止更新。

3 实验

3.1 在不同网络上生成的扰动

3.2 数据集示意

3.3 迁移性


3.4 以小网络上的扰动作为初始化扰动

3.5 和其他扰动算法对比

论文阅读 (81):Fast Feature Fool: A Data Independent Approach to Universal Adversarial Perturbations相关推荐

  1. 论文阅读|node2vec: Scalable Feature Learning for Networks

    论文阅读|node2vec: Scalable Feature Learning for Networks 文章目录 论文阅读|node2vec: Scalable Feature Learning ...

  2. 《论文阅读》RoBERTa: A Robustly Optimized BERT Pretraining Approach

    <论文阅读>RoBERTa: A Robustly Optimized BERT Pretraining Approach 简介 想法来源 数据集的选择 创新点 总结 期刊:arxiv 2 ...

  3. 对抗攻击经典论文剖析(下)【DeepFool、One pixel attack、Universal adversarial perturbations、ATN】

    引言 上一篇讲的几篇经典对抗攻击论文主要讲的是如何在梯度上扰动或者优化,即尽可能保证下的扰动,不被人类发现,却大大降低了模型的性能.这一篇我们将会有一些更有意思的对抗攻击样本生成,包括像素级别的扰动以 ...

  4. 论文阅读+实战:SimGNN:A Neural Network Approach to Fast Graph Similarity Computation

    Part 1: 论文阅读 论文链接:SimGNN: A Neural Network Approachto Fast Graph Similarity Computation 1. 摘要 图相似性搜索 ...

  5. 论文阅读:Fast Optical Flow using Dense Inverse Search

    文章目录 1. 论文总述 2021_09_14补充: 2. 光流鲁棒性遇到的挑战 3. 保持精度的同时提高速度的一些方法 4. Fast inverse search for corresponden ...

  6. 【CV论文阅读】 Fast RCNN + SGD笔记

    Fast RCNN的结构: 先从这幅图解释FAST RCNN的结构.首先,FAST RCNN的输入是包含两部分,image以及region proposal(在论文中叫做region of inter ...

  7. 论文阅读:Pyramidal Feature Shrinking for Salient Object Detection

    论文地址:https://ojs.aaai.org/index.php/AAAI/article/view/16331 发表于:AAAI 2021 I. Intro 这个网络是用来做显著目标检测的 核 ...

  8. 自监督论文阅读笔记 Urban feature analysis from aerial remote sensing imagery using self-supervised and semi-s

    "Urban feature analysis from aerial remote sensing imagery using self-supervised and semi-super ...

  9. 论文阅读报告:Feature Selection for Multi-label Classification Using Neighborhood Preservation,Zhiling Cai

    文章目录 1. 论文出处 2. 流程(示意图) 3. 预备知识 3.1 相似性保持特征选择(Similarity Preserving Feature Selection) 3.2 多标签 4. 论文 ...

最新文章

  1. 小学生也能看懂的微服务节点判活难题
  2. ajax重复被调用,重复jQuery ajax调用
  3. 怎样封装一个自己的mvc框架(七)
  4. 无限极 php算法,无限极分类算法,对你一定有帮助
  5. CCF201809-1 卖菜
  6. 2017.8.7 GT考试 思考记录
  7. 【less-6】sqli-labs靶场第六关(类似less-5)
  8. 在Master page 里 CompositeControl 的事件失效了
  9. GRE(Generic Routing Encapsulation,通用路由封装)tunnel技术
  10. Vuex 实战:如何在大规模 Vue 应用中组织 Vuex 代码 | 掘金技术征文
  11. php中用户自定义排序
  12. python控制mt4自动交易软件下载_MT4 EA智能自动交易系统使用教程
  13. 我的世界python造房子_创造属于自己的世界!教你如何在《我的世界》建造建筑...
  14. YoC RTOS 实战:FOTA系统升级
  15. google服务框架 闪退_华为的谷歌服务打不开怎么办?
  16. CSTC2021 WriteUp
  17. linux 下的 wchar_t
  18. 使用含有关键字exists查找未分配具体部门的员工的所有信息。
  19. 市场营销策划书的设计与撰写
  20. 生意参谋 市场大盘(2021-05)

热门文章

  1. AR127全极低功耗磁控霍尔开关
  2. DSPE-PEG2000-ICG 二硬脂酰基磷脂酰乙醇胺-聚乙二醇-吲哚菁绿
  3. js 中replace中的回调函数
  4. 使用QT编写TCP服务器与客户端程序
  5. 国家计算机类的部门,国考部门
  6. 【收藏】常用JavaScript正则表达式汇编与示例
  7. 在电脑上如何用计算机,如何在电脑上进行录屏操作?
  8. 10.27函数课堂代码
  9. 转载:iPhone8重新设计发布延期,iPhone8或推迟上市时间
  10. Android managedQuery查询如果加入group by条件(及其猥琐的方法)