Adversarial Logit Pairing_优快云

最新推荐文章于 2025-02-22 09:39:41 发布
原创 最新推荐文章于 2025-02-22 09:39:41 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#神经网络

本文提出Adversarial Logit Pairing方法用于防御。介绍了对抗训练、FGSM等相关知识,界定攻击方法。在MNIST、SVHN、ImageNet数据集实验,结果表明该方法能提高模型鲁棒性,还与标签平滑、Mixup等方法对比,显示出较好效果。

Adversarial Logit Pairing

Adversarial Logit Pairing

we introduce enhanced defenses using a technique we call logit pairing, a method that encourages logits for pairs of examples to be similar.

本文提出了一种logit pairing方法做防御。

0. Recall

0.1 Adversarial Training

Algotirhm
图片来源见水印。

image-20201130232338386

Formulation

image-20201130221231560

0.2 FGSM and AT

在[Explaining and harnessing adversarial examples论文中,作者

  • 提出了FGSM
  • 提出了对抗训练。

J ~ ( θ , x , y ) = α J ( θ , x , y ) + ( 1 − α ) J ( θ , x + ϵ sign ⁡ ( ∇ x J ( θ , x , y ) ) \tilde{J}(\theta, x, y)=\alpha J(\theta, x, y)+(1-\alpha) J\left(\theta, x+\epsilon \operatorname{sign}\left(\nabla_{x} J(\theta, x, y)\right)\right. J~(θ,x,y)=αJ(θ,x,y)+(1α)J(θ,x+ϵsign(xJ(θ,x,y))

1. Introduction

Contributions:

  • 在大规模数据集(ImageNet)上开展了对抗训练;
  • 提出了Logit Pairing. 一种鼓励两对样本logit相似的方法。本文提出了两种logit pairingclean and adversarial.(ALP和CLP)
  • 实验表明,使用本文提出的CLP方法就能像对抗训练一样提高模型的鲁棒性,并在一定程度上防御住黑盒PGD攻击;
  • 实验表明,基于ALP训练的模型不管是白盒还是黑盒攻击下,都能获得很好的鲁棒性;
  • 还发现,基于ALP训练模型得到的攻击样本攻击性很强,对于之前最强的防御方法都不能防御住攻击(ensemble adverarial training)。

2. Definitions and threat models

**约束:**威胁模型明确了攻击者(方)的能力,本文将攻击方法界定在可以进行 L ∞ L_{\infty} L操作方法上。这是一种简化操作,但是更适合用于和benchmark工作进行对比。

针对两种威胁模型(threat model):

  • White box:攻击者掌握了模型的所有信息(架构、参数等);
  • **Black box:**攻击者无法获得模型的架构和参数,只能有限次查询。

3. The Challenges of defending ImageNet classifiers

首先,之前已经提出了很多的防御方法,但是目前除了基于Madry(PGD)的对抗训练方法还未被攻破外,其它方法基本都已经不能有效的起到防御作用。因此,本文基于Madry的方法开展研究,并首次将该方法应用于大数据集(ImageNet)。

同时,本文还提及了Adversarial machine learning at scale,包括一些结论:

  • 使用单步攻击攻击方法对抗训练得到的模型,在单步攻击方法下还能得到一定的鲁棒性(不能防御住多步攻击方法的攻击);
  • 多步迭代攻击方法(Iter.l.l. & Iter. basic)对抗训练并未实现。

本文的工作不同的两点包括:

  • 直接基于Madry对抗训练方法在ImageNet数据集上提高了模型的鲁棒性(第一次);
  • 另外,以Madry的方法为baseline,本文提出了新的强化的防御方法,大大提高了模型在ImageNet数据集上的鲁棒性。

注意:在使用PGD生成对抗样本时,采用随机初始化操作。

4. Methods

4.1 Adversarial Training

PGD是一个通用的一阶攻击方法,也即如果某种方法对PGD攻击鲁棒,则对所有的一阶攻击方法都应该鲁棒。

本文的对抗训练使用PGD作为基本攻击方法(use AT with PGD as the underlying basis for our methods.):

arg ⁡ min ⁡ θ E ( x , y ) ∈ p ^ data  ( max ⁡ δ ∈ S L ( θ , x + δ , y ) ) \underset{\theta}{\arg \min } \mathbb{E}_{(x, y) \in \hat{p}_{\text {data }}}\left(\max _{\delta \in S} L(\theta, x+\delta, y)\right) θargminE(x,y)p^data (δSmaxL(θ,x+δ,y))
其中,

  • p ^ d a t a \hat p_{data} p^data是潜在的训练数据分布;
  • L ( θ , x , y ) L(\theta,x,y) L(θ,x,
最低0.47元/天 解锁文章
对抗攻击算法:FGSM和PGD
srh20的博客
11-27 4352
FGSM 利用了梯度上升的思想,通过损失函数相对于输入图像的梯度来找到 最容易 迷惑网络的方向,并沿着这个方向对图像进行微小的扰动。FGSM 的基本想法是,沿着这个梯度的符号方向对图像进行微调,以最大化损失函数。
对抗攻击常见方法汇总
热门推荐
qq_43367558的博客
12-03 1万+
将常见的对抗样本攻击方法汇总,并给出学习链接。
研究笔记(一)
qq_43381493的博客
04-20 3956
对抗攻击
PGD_modified
03-16
PGD​​_已修改
重磅MIT开源人工智能算法评估和理解对抗Logit配对的稳健性
07-31 1007
重磅MIT开源人工智能算法评估和理解对抗Logit配对的稳健性摘要:我们评估了对抗性Logit Pairing的稳健性,这是最近针对广告范例提出的防御措施。 我们发现,使用Adversarial Logit Pairing训练的网络在目标对抗性攻击下达到0.6%的正确分类率,这是一种考虑防御的威胁模型。 我们简要概述了所考虑的防御和威胁模型/声明,以及对我们攻击的方法和结果的讨论,这可能会提供有关...
PGD论文阅读笔记
weixin_49171105的博客
07-24 4075
PGD(ProjectGradientDescent)攻击是一种迭代攻击,可以看作是FGSM的翻版——K-FGSM(K表示迭代的次数),大概的思路就是,FGSM是仅仅做一次迭代,走一大步,而PGD是做多次迭代,每次走一小步,每次迭代都会将扰动clip到规定范围内。P...
adversarial_robustness_toolbox-1.6.0-py3-none-any.whl.zip
05-13
为了提升模型的对抗性鲁棒性,开发者们推出了`adversarial_robustness_toolbox`(ART),这是一个用于检测、防止和防御对抗性攻击的开源库。本文将详细解析`adversarial_robustness_toolbox-1.6.0-py3-none-any.whl....
adversarial_robustness_toolbox-1.6.1-py3-none-any.whl.zip
05-13
《对抗性鲁棒性工具箱:adversarial_robustness_toolbox-1.6.1-py3-none-any.whl.zip详解》 在当前数字化时代,机器学习和深度学习模型已经成为人工智能领域的核心组成部分。然而,这些模型并非无懈可击,它们容易...
adversarial_robustness_toolbox-1.3.2-py3-none-any.whl.zip
05-13
《对抗性鲁棒性工具箱:adversarial_robustness_toolbox-1.3.2-py3-none-any.whl.zip详解》 在当今的机器学习领域,尤其是在深度学习中,模型的安全性和对抗性是不可忽视的重要议题。"adversarial_robustness_...
adversarial_robustness_toolbox-1.16.0-py3-none-any.whl.zip
05-13
《对抗性鲁棒性工具箱:adversarial_robustness_toolbox-1.16.0-py3-none-any.whl.zip》 在当前的数字化时代,机器学习和深度学习已经成为人工智能领域的核心组成部分。然而,随着技术的发展,模型的安全性和隐私...
神经网络对抗攻击的研究学习(一)
qq_61879501的博客
11-07 5432
初窥图神经网络对抗攻击
元代理模型可迁移对抗攻击
欢迎来到道的世界
06-29 1560
 该论文是关于黑盒攻击可迁移性的文章。在当前大量的研究中,许多方法直接攻击代理模型并获得的可迁移性的对抗样本来欺骗目标模型,但由于代理模型和目标模型之间的不匹配,使得它们的攻击效果受到局限。在该论文中,作者从一个新颖的角度解决了这个问题,通过训练一个元代理模型(MSM),以便对这个模型的攻击可以更容易地迁移到到其它模型中去。该方法的目标函数在数学上被表述为一个双层优化问题,为了能够让训练过程梯度有效,作者提出了新的梯度更新过程,并在理论上给出了证明。实验结果表明,通过攻击元代理模型,可以获得更强的可迁移性的
对抗训练实战:PGD攻击生成原理与工程实践全解
最新发布
燃灯工作室
02-22 1678
实战建议:在ImageNet预训练模型基础上,使用ε=4/255、α=1/255、迭代7次的配置作为基准参数,可平衡效果与计算成本。:自动驾驶车辆识别系统防御对抗攻击。:金融风控文本分类模型防护。
FGSM、PGD、BIM对抗攻击算法实现
博主关注人工智能、强化学习、嵌入式等||985高校A+学科研究生、猿龄六年||优快云博客专家、2024年博客之星TOP33、华为云享专家、人工智能领域优质创作者。
12-16 5865
​PGD、BIM对抗攻击算法实现可以直接导入这个torchattacks这个库,这个库中有很多常用的对抗攻击的算法。 pip install torchattacks 然后添加相关代码,即可直接调用
使用pgd和fgsm方法进行攻击并使用map方法评估
yjjjj11的博客
08-09 3198
攻击
基于梯度的PGD攻击
哈哈哈哈哈哈
11-02 1297
基于梯度的PGD攻击
diff-PGD:基于DM改进的PGD攻击
v1716836592的博客
01-15 2176
论文:Diffusion-Based Adversarial Sample Generation for Improved Stealthiness and Controllability。
PGD梯度攻击生成验证码
kalahali的博客
04-04 1121
本项目针对开源验证码识别项目,尝试了以PGD梯度攻击的方式生成攻击样本,正常样本准确率90%,叠加攻击噪声后准确率为0.1%。攻击样本同时具备一定的迁移攻击能力,在另两个模型的测试中,准确率也降低到了10%以下。以batchsize的形式批量生成攻击样本,节省时间。如下图所示,在原本的图片上,叠加让模型loss变大的噪声,从而让模型误判,达到攻击的效果,让验证码具备反爬能力:‘AADWND’添加攻击噪声后,模型识别为’iaa0ss0’。如何批量生成类似的攻击样本呢?
对抗样本攻击
m0_62593409的博客
11-06 1888
对抗样本攻击就是对图像加以扰动从而干扰图像分类器产生错误的判断。主要包括包括错误分类和源/目标错误分类。错误分类的目标意味着对手只希望输出分类是错误的,但并不关心新分类是什么。源/目标错误分类意味着对手想要更改原始属于特定源类的图像,以便将其分类为特定目标类。FGSM和PGD都是特性FGSMPGD迭代次数单步多步计算开销低高攻击强度相对较弱相对较强使用场景快速测试、实时应用强对抗性攻击、防御评估对抗样本生成公式xadvxϵ⋅sign∇xJxadv​。
adversarial_robustness_toolbox工具包1.14.0版本发布
资源摘要信息:"adversarial_robustness_toolbox-1.14.0-py3-none-any.whl.zip是一个包含了adversarial_robustness_toolbox-1.14.0-py3-none-any.whl安装包的压缩文件。这个安装包主要用于提高模型对抗鲁棒性。" ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值