Crafting Adversarial Input Sequences for Recurrent Neural Networks

对抗序列生成:RNN模型的误导策略与实现
最新推荐文章于 2024-07-26 13:49:57 发布
原创 最新推荐文章于 2024-07-26 13:49:57 发布 · 760 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#神经网络 #深度学习 #机器学习

本文探讨了如何利用对抗性输入序列误导RNN,通过计算图展开和前向导数技术,针对循环神经网络的特点设计对抗样本。研究了从预处理扰动到原始输入的转换,并介绍了对抗序列实验和LSTM的应用。结论部分强调了在不同数据类型和威胁模型下的挑战与未来研究方向。

作者: 19届 lz

论文:《Crafting Adversarial Input Sequences for Recurrent Neural Networks》



问题

对手可以制作对抗性序列来误导分类和顺序递归神经网络



贡献:

•我们在序列数据的上下文中形式化了对抗样本优化问题。我们使用前向导数来调整制作算法以适应 RNN 的特殊性。这包括展示如何计算循环计算图的前向导数。
• 我们研究将模型预处理输入的对抗性扰动转换为原始输入。



相关工作

循环神经网络 (RNN) 是从前馈神经网络改编而来的机器学习模型,与前馈神经网络不同,RNN 能够处理大长度且通常可变长度的序列数据。 RNN 在其计算图中引入循环以有效地模拟时间的影响 。循环计算的存在可能对基于模型微分的现有对抗样本算法的适用性提出挑战,因为循环通过应用链式法则直接阻止计算梯度。

我们研究了一个特定的对抗样本实例——我们称之为对抗序列——旨在误导 RNN 产生错误的输出。我们表明,使用一种名为计算图展开的技术,前向导数可以适用于具有循环计算图的神经网络。

神经网络是一类机器学习模型,可用于监督、无监督和强化学习的所有任务。它们由神经元(基本计算单元)组成,将激活函数 φ 应用于它们的输入 ~ x 以产生通常由其他神经元处理的输出。因此,神经元执行的计算采用以下形式:

其中~w是一个参数,称为权重向量,其作用在下文详述。在神经网络 f 中,神经元通常被分组在相互连接的层 fk 中。一个网络总是至少有两层对应于模型的输入和输出。可以在这些输入和输出层之间插入一个或多个中间隐藏层。如果网络只有一个或没有隐藏层,则称为浅层神经网络。否则,网络被称为深度网络,隐藏层的常见解释是它们提取产生输出所需的输入的连续和分层表示

Recurrent Neural Networks

循环神经网络的特性最重要的是在模型的计算图中引入了循环,这导致了一种参数共享的形式,负责对大序列的可扩展性。换句话说,除了不同层神经元之间的链接外,循环神经网络还允许位于同一层的神经元之间的链接,这导致网络架构中存在循环。循环允许模型在不同时间步长的给定输入值的连续值中共享权重——它们是连接神经元输出和输入的链接的参数。

最低0.47元/天 解锁文章
Generating Sequences With Recurrent Neural Networks(英文原版)
07-04
一篇较好的描述seq2seq模式的英文资料。This paper shows how Long Short-term Memory recurrent neural net- works can be used to generate complex sequences with long-range struc- ture, simply by predicting one data point at a time. The approach is demonstrated for text (where the data are discrete) and online handwrit- ing (where the data are real-valued). It is then extended to handwriting synthesis by allowing the network to condition its predictions on a text sequence. The resulting system is able to generate highly realistic cursive handwriting in a wide variety of styles.
FGSM:resnet50上的快速梯度符号方法实现
02-14
FGSM:resnet50上的快速梯度符号方法实现
序列生成_RNN对抗序列生成
weixin_35645077的博客
01-14 364
摘要:论文证明了文本的对抗样本可以干扰RNN的分类结果。介绍两种方法:the fast gradient sign method、the forward derivative method主要贡献:形式化对抗样本优化问题、将对抗扰动加到其他输入中、评估了文本对抗样本表现2. 关于循环神经网络机器学习神经网络、循环神经网络的基础内容介绍3. 制作对抗序列A. 对抗样本和序列对抗样本:首先形式化对抗...
论文阅读《Crafting Adversarial Input Sequences for Recurrent Neural Networks
Afra
03-12 578
摘要 将序列数据的对抗性样本形式化为优化问题。使用前向导数来适应RNN的特殊性。这包括如何计算循环计算图的前向导数。 将对抗性扰动从模型预处理输入转换到原始输入。 使用RNN进行分类和序列预测来评估我们技术的性能。平均而言,在一篇71字的电影评论中改变9个字就足以让我们的分类RNN在对评论进行情绪分析时做出100%错误的预测。我们还表明,生成序列可使用雅比扰动第二个RNN序列输出。 算法 一、对分类模型 对Embedding层求雅克比显著(偏导) 给出了我们必须扰动每个嵌入单词的方向,以减
文献阅读Show-and-Fool:Crafting Adversarial Examples for Neural Image Captioning
comasabd的博客
07-19 399
文章简介:文章主要提出了show-and-fool算法,对现代神经图像字幕系统进行攻击。并为此提出了三种loss函数的实现方法,这三种方法是由难到易的(主观判断)。该方法的主要面向对象是CNN+RNN的结构的现代神经图像字幕系统。 1.targeted caption method; show-and-tell会生成确定的错误的字幕,这个字幕是给出的目标。 2.targeted keyword method;show-and-tell会生成错误的字幕,这个字幕中包含了一些的关键词。 3.unt
苏涛:对抗样本技术在互联网安全领域的应用
DataFun_Hoh的博客
06-09 916
导读: 验证码作为网络安全的第一道屏障,其重要程度不言而喻。当前,卷积神经网络的高速发展使得许多验证码的安全性大大降低,一些新型验证码甚至选择牺牲可用性从而保证安全性。针对对抗样本技术的研究,给验证码领域带来了新的契机,并已应用于验证码反识别当中,为这场旷日持久攻防对抗注入了新的活力。 分享内容包括三大方面: 对抗样本介绍 极验对抗样本技术探索与应用 后续的工作与思考 - 01 对抗样本介绍 1. 什么是对抗样本 对抗样本 ( Adversarial Examples ) 的概念最早是 Chris..
FGPM:文本对抗样本生成新方法
Paper weekly
09-25 3665
©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:Fast Gradient Projection Method...
一文读懂文本处理中的对抗训练
Paper weekly
06-05 3628
作者丨WenZe、Leo单位丨追一科技AI Lab研究员背景与研究意义深度学习技术的快速发展,大幅提升了众多自然语言处理任务(比如文本分类,机器翻译等)的效果,越来越多的...
lstm 文本纠错_一文尽览!文本对抗攻击基础、前沿及相关资源
weixin_40008946的博客
12-20 507
以下文章出自微信公众号:学术头条文章来源:北京智源人工智能研究院原文链接:请点击文章仅用于学习交流,如有侵权请联系删除导读:深度学习的安全性问题已经逐渐被学术界、工业界所认识到并且重视,就文本领域而言,垃圾邮件检测、有害文本检测、恶意软件查杀等实用系统已经大规模部署了深度学习模型,安全性对于这些系统尤为重要。但相比于图像领域,文本领域对抗攻击的研究还远远不够。特别是文本离散的特点使得对抗样本的生成...
Adversarial Attack】快速梯度符号攻击(FGSM) EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES
最新发布
开心星人的博客
07-26 1380
对抗样本可以被解释成高维点乘的一种性质,他们是模型过于线性的结果。对抗样本具有对不同模型都有效的特性,这个特性是可解释的。扰动的方向十分重要。我们介绍了一族快速生成对抗样本的方法。通过对抗样本训练可以正则化,甚至比dorpout的好。我们进行了实验不能用其他方法更简单的更少的高效正则化(包括L1)达到这个效果。模型容易被优化就容易被扰动。线性模型抵抗对抗样本能力差,只有大量隐藏层的网络才应该被训练成抵抗对抗样本的网络。RBF神经网络对对抗样本有抵抗力。
深度学习NLP论文笔记】《Greedy Attack and Gumbel Attack: Generating Adversarial Example for Discrete Data》
野心家-Andy的博客
11-25 1901
这篇文章的数学定义推导和算法说明部分大都没有看懂,所以笔记写得极烂,因为文中很多数学定义相当模糊,写得也很绕。在ICLR2019评审中一位盲审直接给出“poorly written”的意见。ICLR2019 OpenReview  但这篇大概率还是会中,原作者也更新了一版论文,待评审结果出来我会试着重新更新该笔记,先占个坑。 Abstract     我们提出一种【对离散数据进行对抗攻击】...
[机器学习] ML重要概念:梯度(Gradient)与梯度下降法(Gradient Descent)
热门推荐
WangBo的机器学习乐园
03-25 12万+
本文介绍机器学习中重要的概念:梯度和梯度下降法,这是我们在学习MachineLearning算法时的核心概念之一,其实也就是我们在大学本科高等数学中的基础概念。
梯度下降法(Gradient Descent)
isMarvellous的博客
04-08 9900
第一次写博客,好激动啊,哈哈。之前看了许多东西但经常是当时花了好大功夫懂了,但过一阵子却又忘了。现在终于决定追随大牛们的脚步,试着把学到的东西总结出来,一方面梳理思路,另一方面也作为备忘。接触机器学习不久,很多东西理解的也不深,文章中难免会有不准确和疏漏的地方,在这里和大家交流,还望各位不吝赐教。   (又加了一部分代价函数的概率解释——2016.4.10)
图像对抗算法-攻击篇(I-FGSM)
AI之路
05-31 2万+
论文:Adversarial examples in the physical world 论文链接:https://arxiv.org/abs/1607.02533 在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,这就是I-FGS...
梯度下降法(Gradient descent)
moverzp的博客
03-13 1万+
梯度下降法(Gradient descent)标签: 机器学习1.梯度下降法有什么用梯度下降法用来求函数的极小值,且是一种迭代算法,由于计算效率高,在机器学习中常常使用。梯度下降法经常求凸函数(convex function)的极小值,因为凸函数只有一个极小值,使用梯度下降法求得的极小值就是最小值。与其对应的有梯度上升法(Gradient ascent),用来求函数的极大值,两种方法原理一样,只是计
FGSM(Fast Gradient Sign Method)_学习笔记+代码实现
Erpim的博客
06-27 5万+
FGSM(Fast Gradient Sign Method)算法 特点:白盒攻击、 论文原文:Explaining and Harnessing Adversarial Examples 大牛们在2014年提出了神经网络可以很容易被轻微的扰动的样本所欺骗之后,又对产生对抗样本的原因进行了分析,Goodfellow等人认为高维空间下的线性行为足以产生对抗样本。相继有许多算法被提出用来生成对抗...
独家 | 神经网络的对抗性攻击:快速梯度符号方法的探索(附链接)
数据派THU
05-31 666
作者:Patrycja Jenkner翻译:陈之炎校对:欧阳锦本文约2300字,建议阅读8分钟本文将尝试一种非常流行的攻击:快速梯度符号方法,来证明神经网络的安全漏洞。标签:对抗性攻击,神...
对抗样本和对抗网络
Just for fun的专栏
08-24 723
对抗样本和对抗网络 所谓对抗 样本是指将实际样本略加扰动而构造出的合成样本,对该样本,分类器非常容易将其类别判错,这意味着光滑性假设(相似的样本应该以很高的概率被判为同一类别)某种程度上被推翻了。 Intriguing properties of neural networks, by Christian Szegedy at Google, et al,2014. 这篇论文应该是最早提出对抗
面向深度学习系统的对抗样本攻击与防御
dfs000的博客
07-12 7169
研究生涯即将开始,现在做的是对抗样本攻击与防御,开始每天写博客,记录一下自己的学习历程~ 1.对抗样本 尽管深度学习解决某些复杂问题的能力超出了人类水平,但也面临多种安全性威胁。2013年,塞格德等人首先在图像分类领域发现了一个非常有趣的现象:攻击者通过构造轻微扰动来干扰输入样本,可以使基于深度神经网络(DNN)的图片识别系统输出攻击者想要的任意错误结果。研究人员称这类具有攻击性的输入样本为对抗样本,其生成算法即为对抗样本的攻击算法。随后,越来越多的研究发现,除了DNN模型以外,对抗样本同样能成功地攻击
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

中南大学苹果实验室

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值