[论文笔记]TOWARDS DEEP NEURAL NETWORK ARCHITECTURES ROBUST TO ADVERSARIAL EXAMPLES 论文笔记

最新推荐文章于 2022-05-26 09:58:41 发布
原创 最新推荐文章于 2022-05-26 09:58:41 发布 · 1.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了神经网络对抗样本的特性及防御策略,通过实验发现去噪自编码能有效去除对抗噪声,但堆叠后的网络仍易受攻击。进而提出了深度收缩网(DCN),一种端到端网络,其损失函数包含光滑惩罚项,实验证明DCN能显著提升神经网络对对抗样本的鲁棒性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[论文笔记]TOWARDS DEEP NEURAL NETWORK ARCHITECTURES ROBUST TO ADVERSARIAL EXAMPLES

一、前言

本文主要是为了探索对抗样本的特性和神经网络的拓扑结构。设计实验:通过加入噪声来破坏对抗样本、利用去噪自编码进行预处理。发现去噪自编码能够去除大量的对抗噪声,但是如果把去噪自编码和原来的深度网络堆叠起来,新的深度网络同样会收到对抗样本的攻击。因此本文借助 收缩自编码(CAE) 的思想,提出 深度收缩网(DCN),这是一个端到端的网络,其损失函数中包含光滑惩罚项,实验证明该网络可提高神经网络对对抗样本的鲁棒性。

二、注入噪声

(1)高斯加性噪声:只加在输入层(L1)或者输入层和隐层同时加入(L*)
在这里插入图片描述
随着高斯加性噪声标准差的增加,对抗样本的分类错误率逐渐降低,但是干净样本的错误分类率逐渐增加,因此在恢复的对抗样本和错误分类的干净样本之间应该有一定的权衡。

(2)高斯模糊噪声:只加在输入层
在这里插入图片描述
可以看出加入高斯模糊噪声后的卷积神经网在恢复对抗样本上更有效。

三、去噪自编码(DAE)

训练一个三个隐层(784-256-128-256-784)的去噪自编码,输出为对抗样本,输出为去噪后的样本,也可以堆叠多个去噪自编码。
在这里插入图片描述
表中的列label代表训练DAE的对抗样本所来自的模型,行label代表测试DAE的对抗样本所来自的模型,表中的值代表测试集上恢复的对抗样本在行label模型的分类错误率。可以看出所训练的去噪自编码在不同模型上具有迁移性,各种情况下都能恢复至少90%的对抗样本。

虽然去噪自编码在去除对抗噪声方面十分有效,但是如果将去噪自编码与原来的网络堆叠在一起,构成新的网络,它也可以产生新的对抗样本来攻击模型:
在这里插入图片描述

四、深度收缩网(DCN)

(1)收缩自编码(CAE)
考虑如下自编码:
在这里插入图片描述
其损失函数为:
在这里插入图片描述
收缩自编码的损失函数是在上述损失函数的基础上引入惩罚项:
在这里插入图片描述
该惩罚项的作用是使得输入的微小变化不会给隐层激活值带来太大改变。
(2)深度收缩网(DCN)
DCN是CAE的推广形式。
DCN的损失函数为:
在这里插入图片描述
其中 t ( i ) t^{(i)} t(i)为输入 x ( i ) x^{(i)} x(i)的真实标签, y ( i ) y^{(i)} y(i)为输入 x ( i ) x^{(i)} x(i)的预测标签。

上述惩罚项会带来很大的计算代价,因此对其近似处理:
在这里插入图片描述
虽然近似后的损失函数并不能保证是原损失函数的全局最优并且限制了神经网络的能力,但是确是保持输入在传播过程中不变性的一种有效计算方法。

参考文献
Shixiang Gu,Luca Rigazio,TOWARDS DEEP NEURAL NETWORK ARCHITECTURES ROBUST TO ADVERSARIAL EXAMPLES,2015.

A Survey on Deep Learning Techniques Applied to medical image analysis
AI天才研究院
08-13 497
作者:禅与计算机程序设计艺术 Introduction:Deep learning techniques have recently gained popularity in medical image analysis because they are capable of accurately identifying disease markers without relying on human intervention, enabling better decision-making and tre
【ECCV2020】接收论文列表part1
TomRen
07-18 7104
ECCV2020 接收论文完整列表 看论文学CV
论文阅读】深度学习系统的对抗攻击及其对抗样本
admin11111111的博客
07-11 2167
目录 前言 1. DeepXplore 1.1 DeepXplore工作流程 1.2 DeepXplore主要的贡献是: 1.3 论文中的示例 2. DEEP CONTRACTIVE NETWORK—深度压缩网络 3. DeepFool 参考文献: 前言 传统软件需要测试,对于深度学习系统的对抗攻击会使得深度学习模型产生错误的行为,因此对于深度学习系统也需要测试。 DLFuzz,是检测深度神经网络健壮性的差分模糊测试框架。...
论文阅读 | Towards a Robust Deep Neural Network in Text Domain A Survey
weixin_30352645的博客
08-05 6083
摘要 这篇文章主要总结文本中的对抗样本,包括器中的攻击方法和防御方法,比较它们的优缺点。 最后给出这个领域的挑战和发展方向。 1 介绍 对抗样本有两个核心:一是扰动足够小;二是可以成功欺骗网络。 所有DNNs-based的系统都有受到对抗攻击的潜在可能。 很多NLP任务使用了DNN模型,例如:文本分类,情感分析,问答系统,等等。 以上是一个对抗攻击实例...
深度学习笔记(四)—— 神经网络结构[Neural Network Architectures]
zeeq的博客
03-12 2078
  神经网络被建模为在一个非循环图中连接的神经元的集合。换句话说,一些神经元的输出可以变成其他神经元的输入。循环是不允许的,因为这意味着在网络的正向传播过程中会出现无限循环。神经网络模型通常被组织成不同的神经元层,而不是由连接的神经元组成的无定形点。对于规则神经网络,最常见的层类型是全连接层(fully-connected layer),其中两个相邻层之间的神经元完全成对连接,但单层内的神经元不共享连接。下面是两个使用全连接层堆叠的示例神经网络:   需要注意的是,当我们说N层神经网络时,我们并没有把输入
【读点论文】Benchmark Analysis of Representative Deep Neural Network Architectures当准确率不再是唯一衡量标准,给多目标优化一个导向
白水空空
05-26 463
Benchmark Analysis of Representative Deep Neural Network Architectures ABSTRACT 这项工作对目前(2018)提出的用于图像识别的大多数深度神经网络(DNNs)进行了深入分析。(可直接看结论) 对每个DNN的多个性能指标进行了观察,如识别精度、模型复杂度、计算复杂度、内存使用和推理时间。本文分析和讨论了这些性能指标的行为以及它们的一些组合。为了测量这些指数,本文在两种不同的计算机架构上实验了DNN的使用,一种是配备了NVIDIA
对抗机器学习基础(论文学习笔记二)
Evan Hu的博客
03-22 1059
Foundation系列共有三个部分,是对《Evasion attacks against machine learning at test time》《Intriguing properties of neural networks》《Explaining and harnessing adversarial examples》三篇文章的阅读笔记整理。本文介绍《Intriguing proper...
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
Robust Adversarial Examples_鲁棒的对抗样本
weixin_33972649的博客
11-16 515
https://blog.openai.com/robust-adversarial-inputs/?spm=a2c4e.11153940.blogcont149583.11.4ab360c0mXrtX7 原文中包含视频例子。 我们创建的图像可以在从不同的尺度和视角观察时可靠地欺骗神经网络分类器。 这挑战了上周声称自动驾驶汽车难以恶意欺骗,因为它们从多个尺度,角度,视角等捕获图像。 这张印刷...
论文阅读】Towards Robust Neural Machine Translation
void_p的博客
05-29 983
论文信息 ACL2018 来自腾讯 提出背景
Deep Temporal Linear Encoding Networks论文笔记
zxcvbnm2333的博客
01-15 1644
1.深度体现在什么地方? 使用的是深度学习网络,本文中用的是双流网络以及C3D网络。 2.时间线性编码是怎样的一种编码方式? TLE首先对一段视频,切割成K段,然后对每一段,让它通过一个CNN提取到CNN features,当然这K个CNN是权值共享的,然后对这K段的CNN features,首先用一个融合操作把它们糅合成一个features,然后对这融合后的features进行编码从而...
论文翻译】Towards Robust Detection of Adversarial Examples
Marcorss的博客
05-20 1631
对抗样本的鲁棒检测 Towards Robust Detection of Adversarial Examples Tianyu Pang, Chao Du, Yinpeng Dong, Jun Zhu 摘 要 虽然深度学习最近的进展是实质性的,但是深度学习方法容易受到恶意生成的对抗样本的攻击。在本文中,我们提出了一种新的训练方法和阈值测试策略,用于对抗样本的鲁棒检测。在训练中,我们建议最小化反向交叉熵(RCE, reverse cross entropy),它鼓励深度网络学习潜在的表征(re..
[论文笔记]集成方法提高神经网络的对抗鲁棒性
a1065147740的博客
12-04 6340
集成方法提高神经网络的对抗鲁棒性一、多个弱防御的集成不能形成强防御1.攻击者2.防御策略3.对抗样本生成方法4.干扰大小的度量5.实验6.结论二、简单集成神经网络是一种防御对抗干扰的方法1.攻击方法2.集成模型3.计算梯度4.实验5.结论三、 ensemble of specialists 提高对抗样本的鲁棒性1.利用FGSM方法得到模型的混淆矩阵:2.伪代码如下:3.实验考虑三种模型4.实验结果...
[论文阅读笔记]Towards Deep Learning Models Resistant to Adversarial Attacks
Invokar的博客
07-21 9995
Towards Deep Learning Models Resistant to Adversarial Attacks(CVPR 2017) 文章简述: 本文主要是在研究防御的问题,并提出了PGD这种first-order攻击方法,其中增强模型robust的方法有以下两种: 增大网络容量 使用PGD方法进行对抗训练 如何训练更加robust的模型? 下面这个公式可以看成一个鞍点的问题,即i...
TFLearn 自学笔记 Examples(logical operators)
cable_guy的博客
03-17 295
""" Simple Example to train logical operators """ from __future__ import absolute_import, division, print_function import tensorflow as tf import tflearn # Logical NOT operator X = [[0.], [1.]] Y =...
DeepLearning论文笔记(二):Understanding Deep Architectures using a Recursive Convolutional Network
quyouyang0925的博客
05-15 764
>     卷积神经网络模型在图像分类上的表现受到很多内部结构因素的影响,比如:layer的数量、特征图维数、滤波器的尺寸、总参数数量、pooling层的尺寸和放置位置等。本文提出了一种循环卷积网络,用以独立分析层数、特征数以及参数数量对于分类结果的影响。 一、循环卷积网络 上图为文中提出的循环卷积网络结构。只有第一个卷积层具有独立参数并伴随Max pooling处理,其他所有L个卷积层
Exploring Architectural Ingredients of Adversarially Robust Deep Neural Networks
MTandHJ的博客
11-11 348
文章目录概主要内容深度宽度代码 Huang H., Wang Y., Erfani S., Gu Q., Bailey J. and Ma X. Exploring architectural ingredients of adversarially robust deep neural networks. In Advances in Neural Information Processing Systems (NIPS), 2021 概 本文是对现有的残差网络结构的探索, grid search一个
Towards Deep Learning Models Resistant to Adversarial Attacks
04-03
Adversarial attacks are a major concern in the field of deep learning as they can cause misclassification and undermine the reliability of deep learning models. In recent years, researchers have proposed several techniques to improve the robustness of deep learning models against adversarial attacks. Here are some of the approaches: 1. Adversarial training: This involves generating adversarial examples during training and using them to augment the training data. This helps the model learn to be more robust to adversarial attacks. 2. Defensive distillation: This is a technique that involves training a second model to mimic the behavior of the original model. The second model is then used to make predictions, making it more difficult for an adversary to generate adversarial examples that can fool the model. 3. Feature squeezing: This involves converting the input data to a lower dimensionality, making it more difficult for an adversary to generate adversarial examples. 4. Gradient masking: This involves adding noise to the gradients during training to prevent an adversary from estimating the gradients accurately and generating adversarial examples. 5. Adversarial detection: This involves training a separate model to detect adversarial examples and reject them before they can be used to fool the main model. 6. Model compression: This involves reducing the complexity of the model, making it more difficult for an adversary to generate adversarial examples. In conclusion, improving the robustness of deep learning models against adversarial attacks is an active area of research. Researchers are continually developing new techniques and approaches to make deep learning models more resistant to adversarial attacks.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值