【机器学习】李宏毅——Adversarial Attack(对抗攻击)
研究这个方向的动机,是因为在将神经网络模型应用于实际场景时,它仅仅拥有较高的正确率是不够的,例如在异常检测中、垃圾邮件分类等等场景,那些负类样本也会想尽办法来“欺骗”模型,使模型无法辨别出它为负类。因此我们希望我们的模型能够拥有应对这种攻击的能力。
How to Attack
通过影像辨识的例子来解释如何进行攻击。
假设我们已经训练了一个图像的分类器,对于我们下图中输入的图片它能够分辨出来是一只猫;那么我们现在对原始的输入进行一定的扰动,加入干扰项再输入到模型中看看它是否会辨别成其中的东西(图中这种扰动太大了,一般加入的扰动项是人眼无法辨别的):
那么这种攻击又划分为两类:
- Non-targeted:这一类的攻击只要求能够让模型无法辨认出来是猫就行
- targeted:这一类的模型是有目的性的,除了让模型无法辨别出来是猫之外,还希望让模型辨别出来是特定的物品
这里有一个很神奇的现象,假设我们加入的杂讯比较大,我们人眼能够直接观察得到:
可以发现机器还是大部分能够发现这是一只猫,只不过可能品种不同而已。但如果加入的杂讯是我们特别准备的,并且肉眼看不出来的:
可以看到不仅分类错误了,连信心分数都激增,并且事实上我们可以调整我们的杂讯让机器把这张看起来像一只猫的图片分辨成任何东西,因此这也是我们需要机器能够对抗攻击的原因之一。
那么接下来我们就来认识一下是怎么做到这种攻击的。
对于我们当前拥有的分类器,输入一张猫的图片 x 0 x^0 x0它输出为一个向量,是每一个类别的信心分数,其中最高的为猫。
- 对于无目标的攻击来说,我们在原始图像更换成一张图片 x x x,它也经过分类器的处理后输出一个向量,那希望是这个向量能够和猫这个类别对应的One-hat-vector之间的距离越远越好
- 对于有目标的攻击来说,我们在原始图像更换成一张图片 x x x,它也经过分类器的处理后输出一个向量,那不仅希望是这个向量能够和猫这个类别对应的One-hat-vector之间的距离越远越好,还希望这个向量与目标类别的One-hat-vector之间的差距越小越好
而对于向量之间的差距我们可以用交叉熵来表示,因此得到:
那么对于无目标的攻击,可以设定其损失函数为:
L ( x ) = − e ( y , y ^ ) L(x)=-e(y,\hat{y}) L(x)=−e(y,y^)
对于有目标的攻击可以设定其损失函数为:
L ( x ) = − e ( y , y ^ ) + e ( y , y t a r g e t ) L(x)=-e(y,\hat{y})+e(y,y^{target}) L(x)=−e(y,y^)+e(y,ytarget)
因此优化目标为:
x ∗ = a r g m i n d ( x 0 , x ) < ε L ( x ) x^*=argmin_{d(x^0,x)<\varepsilon}~ L(x) x∗=argmind(x0,x)<ε L(x)
其中 d ( x 0 , x ) < ε d(x^0,x)<\varepsilon d(x0,x)<ε代表我们希望加入的图像和原始的图像比较接近,这样肉眼才看不出来。而这个距离的计算方式下面举两个例子:
- L2-norm: d ( x 0 , x ) = ∥ Δ x ⃗ ∥ = ∑ i = 1 ( Δ x i ) 2 d(x^0,x)=\lVert \Delta \vec{x}\rVert =\sum_{i=1}(\Delta x_i)^2 d(x0,x)=∥Δx ∥=∑i=1(Δxi)2
- L-infinity: d ( x 0 , x ) = ∥ Δ x ⃗ ∥ = m a x { Δ x i } d(x^0,x)=\lVert \Delta \vec{x} \rVert=max\{\Delta x_i\} d(x0,x)=∥Δx ∥=max{Δxi}
那么这两种距离计算方法的区别在于人眼的观感程度,这也许听起来很抽象但可以通过下面的例子解释:
上方和下方的图它们与原始的图的L2-norm距离相同,只不过上方的图距离都分散的每一个像素,下方的图集中在右下角的像素,因此下方的图我们能够明显感受出差别。
而这两张图的L-infinity差距是不同的,第一张图显然比第二张图小。那么为了要让我们人眼无法辨认,我们需要对这个L-infinity进行限制,才可以让我们无法看出来,因此一般是选择L-infinity。
那么下面的问题就是我们如何求解这个优化问题:
x ∗ = a r g m i n d ( x 0 , x ) < ε L ( x ) x^*=argmin_{d(x^0,x)<\varepsilon}~ L(x) x∗=argmind(x0,x)<ε L(x)
对于此问题,跟之前我们训练模型时调整参数是一样的,只不过调整的参数变成了输入而已,同样也可以采用梯度下降来求解,只不过要加上一定的限制而已:
进行梯度更新的时候,我们要时刻检查更新之后其距离是否会超过限制的范围,如果超过了就要及时地将其修正回来。
有一个应用上述思想的简单算法为FGSM,其特点在于:
- 它只迭代一次
- 它的学习率设为我们限制的距离大小
- 它的梯度计算出来后会对每一个分量加上一个Sign函数,使其成为正负1
那么可以看到,这样更新一次是绝对不会超过范围的,因此这样找到的或许是可行的。
White Box v.s. Black Bos
在前面介绍的攻击方法中我们需要计算梯度,而计算梯度则要求我们知道该模型内部的参数,因此这一种攻击称为White Box(白箱攻击),这一种攻击对于一些未知模型来说可能是无法进行的。但这不代表着不让别人知道模型参数就是安全的,因为还有Black Bos(黑箱攻击),这一类攻击不需要知道模型内部的参数就可以发动攻击。
对于黑箱攻击来说,一种简单的情况是我们知道这个未知的模型是由哪些训练资料训练出来的,那么我们就可以用一个具有类似网络结构的模型也对这些训练资料进行训练,得到我们自己模型的参数,那么再在这个模型上计算如何攻击,最终将得到的攻击应用到目标模型中就可能会成功,如下图:
那么复杂一点的情况就是我们也不知道训练集,那么可能可行的做法为用一大堆我们自己的资料放进去这个模型,相应会得到一大堆输出,那么将这些输入和输出来作为训练集,就可以类比上面的做法进行训练。
在实际上,黑箱攻击和白箱攻击都是很容易成功的,并且在一个模型上攻击成功的x,用在另外的模型上也非常容易攻击成功,那么这就让人有了研究的空间,但目前仍然没有明确的答案,值得让人信服的解释是实际上攻击是否成功主要取决于你的训练资料而不是取决于你的模型,相同的训练资料所训练出来的不同模型在被攻击时很可能呈现相同的结果,也就是说攻击可以认为是“具有特征性的”,也许你得到的这个攻击向量看起来真的很像是杂讯, 但这可能就是机器从训练资料中学习到的特征。
这里补充一个小知识点,因为我们之前说到的攻击都说客制化的,即对于每一张图片单独计算它的攻击向量,那么假设影响场景为某个摄像头,我们想要让这个摄像头对于输入都辨认错误的话则要对每张图片都计算,那么运算量很大;那么有没有可能能够有一个通用的攻击向量,如果将它加入摄像头摄取的每一个图片的时候,都能够使该图片被辨认错误,那么这样的攻击称为Universal Adversarial Attack。这种是可能可以做到的。
其他攻击类型综述
Adversarial Reprogramming
这一个类别的攻击在于直接攻击模型,它像是寄生虫一样寄生于别的模型之上,然后让其他已经训练好的模型来做我们想做的任务
“Backdoor” in Model
这种开后门的方法是在训练阶段就已经攻击了,例如在训练阶段加入特定的图片,让训练完成后的模型看到某一张特定图片的鱼是会分辨成狗。但是这种训练要保证我们加进去的特殊图片它是人眼无法检查出来的,不能说加入一大堆鱼的图片然后标准改成狗,这是不行的。
Defense
前面都是在讲如何进行攻击,那么接下来进行介绍我们如何进行防御
Passive Defense
这类防御,训练完模型之后就不改变模型,而是在将样本输入到模型之前,增加一个filter环节,如下:
那么这个Filter的作用可以认为是削减这个攻击信号的威力,使我们的模型仍然能够正常的进行辨认。那么这个Filter也不一定特别复杂,有时候例如进行模糊化就可以达到我们想要的效果,但要注意模糊化也有负作用,就是让机器的信心分数降低:
类似于这种方法还有很多,例如将影像进行压缩和解压缩,可能就可以让攻击信号失去威力,或者通过AE自编码器来重新生成,也可能可以过滤掉杂讯等等。而这种被动防御一般来说如果被攻击方明确你采用的防御方法,那么就非常容易被破解。
那么可能的改进是加入随机化,即在对图像处理处理的时候随机选择可选的处理策略,不过还是得保护住你随机的分布才可以保持防御的有效性。
Proactive Defense
这种思想是在训练时就训练一个不容易被攻击的模型。具体的做法是我们自己创造攻击类型的向量来进行攻击训练,即对原始的样本修改为攻击的样本,不过我们要加上它原来正确的标签,将这些作为训练资料来对模型进行训练。
但这个问题主要是能够抵挡你训练过的那些攻击的方法,对于未见过的攻击算法很可能挡不住。
【机器学习】李宏毅——Adversarial Attack(对抗攻击)相关推荐
- 【李宏毅机器学习】adversarial attack 对抗攻击
note: 对抗训练(adversarial training)通过对抗攻击(adversarial attack)的手段,即生成对抗样本(对部分原样本加入微小的扰动,可能导致误分类),是的NN能适应 ...
- Adversarial Attack (对抗攻击)
目录 Motivation How to Attack Example of Attack How to Attack (White Box Attack) Black Box Attack One ...
- Adversary Attack(对抗攻击)论文阅读笔记
引言: 最近开始学习Adversary Attack(对抗攻击)有关的内容,于是便从Ian GoodFollow的论文开始读起,后面每篇博客都会列举三篇的阅读笔记,来记录学习的经历.如果有讲得不到位或 ...
- 【GNN报告】ICT敖翔:图机器学习应对金融欺诈对抗攻击
目录 1.简介 2.图机器学习应对金融欺诈对抗攻击 背景 图机器学习识别金融欺诈 挑战 挑战1-类别不平衡的解决 挑战2-标签不可信的解决 挑战3-分布有漂移的解决 图机器学习应对欺诈对抗攻击 从数据 ...
- 机器学习(13)——对抗攻击
文章目录 前言 1 原理 2 攻击方式 2.1 针对模型的攻击 2.1.1 白盒攻击 2.1.2 黑盒攻击 2.2 针对输出的攻击 2.2.1 无目标攻击 2.2.2 有目标攻击 3 对抗样本生成方式 ...
- 李宏毅机器学习作业10——Adversarial Attack,FGSM,IFGSM
理论部分参见李宏毅机器学习--对抗攻击Adversarial Attack_iwill323的博客-CSDN博客 目录 目标和方法 评价方法 导包 Global Settings Data tran ...
- 对抗攻击Adversarial Attack
参考链接: (1)对抗攻击常见方法汇总 https://blog.csdn.net/qq_43367558/article/details/121694626 (2)对抗性样本攻击方法汇总 https ...
- 对抗攻击经典论文剖析(下)【DeepFool、One pixel attack、Universal adversarial perturbations、ATN】
引言 上一篇讲的几篇经典对抗攻击论文主要讲的是如何在梯度上扰动或者优化,即尽可能保证下的扰动,不被人类发现,却大大降低了模型的性能.这一篇我们将会有一些更有意思的对抗攻击样本生成,包括像素级别的扰动以 ...
- 对抗攻击与防御(2022年顶会顶刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
文章目录 AAAI' 2022 论文汇总 CVPR'2022论文汇总 ACM'2022论文汇总 ECCV'2022论文汇总 ICLR'2022论文汇总 NIPS'2022论文汇总 后续 AAAI' 2 ...
最新文章
- oracle存储过程无效字符_Oracle存储过程基础+ 错误代码
- 判断任意控制台输入的十进制数是否为水仙花数
- LeetCode Contains Duplicate (判断重复元素)
- 微软面向初学者的机器学习课程:1.1-机器学习介绍
- 数据库如何进行索引优化
- spark java foreach_Spark Java使用DataFrame的foreach/foreachPartition
- java 异步处理数据格式_spring mvc对异步请求的处理
- Active Directory备份与还原
- mysql 拼接符是什么_mysql 字符串拼接
- jsp taglib指令_JSP指令–页面,包含和taglib示例
- 教你一招,如何使用抓包工具轻松获取微信文章数据!
- python键盘输入字典类型_python数据类型——字典类型
- Android APP开发入门教程-Button
- linux geos 动态库,未经sudo许可在linux上安装GEOS库
- linux的mysql占用cpu过高_关于在Linux环境下,Mysql占用CPU使用率100%的优化
- CentOS8 离线安装 汉语拼音
- 01百思不得其姐基本配置
- matlab三角形外接圆
- 试题 算法训练 单词翻转 文章翻转 JAVA
- Elastic:运用 Elastic Maps 实时跟踪,可视化资产分布及地理围栏告警(二)