Poisoning the Unlabeled Dataset of Semi-Supervised Learning毒害半监督学习的无标记数据集

已于 2022-03-25 17:11:54 修改
阅读量3.8k 收藏
点赞数 1
文章标签: 学习 机器学习 深度学习
于 2022-03-12 13:43:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40832034/article/details/123440224
版权

论文背景

机器学习研究近年的发展非常迅速,监督学习是其中很重要的一种方法,监督学习的目标是从训练样本中学习一个从样本到标签的有效映射,使其能够预测未知样本的标签,不足之处是需要大量的标记数据,针对这一不足,提出无监督学习,无监督学习仅根据测试样本在特征空间的分布情况标记样本,准确性差。半监督学习结合了两者的长处,有少量未标记的样本,学习机以从训练样本中获得的知识为基础,结合测试样本的分布情况进一步修正已有知识,并判断测试样本的类别。由于现实中很难得到大量标记样本,人为标记样本代价昂贵,半监督学习很好的弥补这一缺陷,它只需一小部分带标记的数据和一大部分未标识的数据。随着半监督学习的流行,数据安全成为了一个问题,毒害半监督学习中的未标识数据,很有可能改变模型的分类,本文基于这一背景研究。

论文工作

本文研究的是针对未标记数据的投毒研究,通过毒害未标记的数据集,导致学习的模型对目标例子进行错误分类;针对这种攻击提出防御方法。
①引入第一次半监督中毒攻击,只需要控制0.1%的未标记数据
②发现模型的准确性和中毒易感性之间存在直接关系:更准确的技术更容易被攻击
③开发一种防御机制,通过监测训练动态,完美地将中毒的例子与干净的例子分开

攻击原理

为了验证毒害半监督学习中的未标记数据能影响模型训练结果,我们设置一个攻击过程进行验证。

  • 正常半监督学习

首先展示正常情况下的半监督学习过程:(设置两种已标识的样本,分别为o(红色)和x(蓝色),还有一个未标记样本,记为⊗)
在这里插入图片描述
正常情况下,模型对已经标识的样本提取特征进行训练,上图是正确的决策边界。此时有一个未标记的样本⊗(它的正确标识为蓝色,但是我们想让它被分类为红色),因为他在被分类为蓝色的样本x周围,模型在训练的时候会将其正确归类为蓝色,没有实现我们想让它被分类为红色的目的。

  • 被毒害未标记数据后的半监督学习

通过毒害上图位置的未标记样本,我们想它让⊗被分类为红色标签,毒害过程如下:
首先确定毒害目标样本x,期待标签(即我们想让它被分类为)y,在标签为y的样本中随机选取原样本x’(为了证实攻击有效,保证x’的标签不是y),毒害过程如下设置:
①在x’和x中间插入n个有毒样本x1、x2、……xn,通过插入的样本连接x’与x
②半监督学习模型训练时,由于x1离原样本x’很近,他会被分类为x’的标签y
同理,x2离x1也很近,也会被打上y的标记……最后x被分类为y
在这里插入图片描述
整个过程如上图所示,最终,未标记样本成功被分类为红色,攻击成功。(注意:上图插入样本nd的数量也就是毒害率)

数据集介绍

CIFAR-10是研究最多的半监督学习数据集,有10个类的50,000张图像
SVHN是一个更大的数据集,有604,388张门牌号码的图像,允许我们用更多的例子来评估我们攻击数据集的效果。
STL-10是一个为半监督学习设计的数据集。它只包含1000张带标签的图像(分辨率更高,为96 × 96),另外还有10万张来自类似(但不完全相同)分布的未带标签的图像,这使它成为我们最真实的数据集。
(因为CIFAR-10和SVHN最初是为完全监督训练设计的,所以他的数据都带有标签,半监督学习使用这些数据集时,除了少数示例(通常只有40或250个示例)外,会丢弃所有示例的标签。)

实验结果评估

跨源图像和目标图像进行评估

在这里插入图片描述

使用不同的原图像样本和目标图像攻击成功率不同,图二中黄色为攻击成功,紫色为攻击失败

跨训练技术(模型)评估

在这里插入图片描述
有七种半监督模型,其中FixMatch、UDA、MixMatch是较为先进的准确性较高的三种,其余四种是古老的准确率不高的训练方法。
可以发现,准确率越高,攻击成功率越大,猜测是更准确的模型可以更容易从数据中获得更多信息,从而让模型做错事情的能力越大。

跨数据集评估

在这里插入图片描述

从中毒率评估

改变投毒率,分别放入40,250,400的插值数量。在这里插入图片描述
插值越多,越容易攻击成功。

跨密度函数评估

密度函数,即不同位置插值的密度,发现最好的密度函数是p=1.5-x,使用这种密度函数可以让中毒过程成功传到目标样本。
在这里插入图片描述
除此之外,本文还证实了对无监督学习投毒成功行,就算不了解带标记数据也能成功攻击,同时,迁移学习更容易受到攻击,证实了这种攻击存在的广泛性。

防御措施

介于这种攻击的危害性,本文提出一种防御措施:监控训练动态,用于分离有毒样本和干净样本。
因为中毒的样本都是通过连接依次中毒的,所以有毒样本之间存在互相影响,而干净样本和干净样本以及干净样本和有毒样本之间则不存在影响关系。
定义影响的表达式,计算出每个样本受到的影响大小,成功分离有毒和干净标签。
在这里插入图片描述

总结

本文通过攻击半监督学习的未标记数据,证实了这种攻击对模型训练存在威胁,并且发现精确度更高的模型更容易被攻击,说明了单纯等待更精准的训练方法不能改善安全问题,需要更为有效的防御手段。最后,本文提出一种防御措施。

基于伪标签的半监督学习——Pytorch框架识别MNIST数据集
YS_jw的博客
12-10 2634
基于伪标记半监督学习,利用Pytorch框架识别MNIST数据集
【论文阅读笔记】NeurIPS2020文章列表Part1
热门推荐
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
10亿级数据规模的半监督图像分类模型,Imagenet测试精度高达81.2% | 技术头条...
AI科技大本营
05-07 2926
译者 | linstancy作者| I. Zeki Yanlniz, Herve Jegou, Kan Chen, Manohar Paluri, Dhruv Mahaj...
半监督学习
dfd4578575的博客
10-14 1263
一、MixMatch半监督算法 伪代码: 1.使用一个minibatch有标签的数据x1做一次增广输入模型得到预测标签; 2.使用一个minibatch无标签的数据x2做k次增广输入模型得到k个minibatch无标签数据的平均分类概率,应用温度Sharpen 算法,得到猜测标签; 3.将有标签数据x1与无标签数据x2组成新的数据集w; 4.再将x1与w通过mixup得到新的一个minibatc...
(1)D2系:半监督目标检测训练自己的数据集unbiased-teacher
zhang2h的博客
01-03 2670
相关:最近再做半监督目标检测的课题,记录一下当前一些算法的复现,目前仅复现了D2系的unbiased-teacher 和改进版mix-unmix算法,mmcv系的soft teacher ,pseco和Instant-teacher。后续复现成功后会有补充。文中的方式是基于ubuntu 系统的conda安装的COCO数据集格式。
半监督算法和测试数据集_matlab、聚类、半监督_
10-01
一种基于最小类间距的半监督聚类算法,内含注释和测试数据集
AAAI 2022 论文列表
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
【2011-2016】 NIPS汇总 - Advances in Neural Information Processing Systems
Testing的博客
10-02 1万+
Advances in Neural Information Processing Systems 24 (NIPS 2011) The papers below appear in Advances in Neural Information Processing Systems 24 edited by J. Shawe-Taylor and R.S. Zemel and P.L.
机器学习教程 之 半监督学习 Co-training 协同训练 (论文、算法、数据集、代码)
冯良骏 的 博客
05-24 1万+
这篇博客介绍的是一篇用于半监督分类问题的方法: 协同训练 Co-training, A. Blum and T. Mitchell, “Combining labeled and unlabeled data with co-training,” in Proc. of the 11th Annual Conf. on Computational Learning Theory, 1998.,这算是半监督领域里面始祖级的论文了,是1998年两位CMU大佬提出的方法。 之前还写过一篇关于Tri-trainin
GNN之节点分类任务—Cora数据集分类(半监督)
☆下山☆的博客
02-17 3814
GNN之节点分类任务—Cora数据集分类(半监督)
【半监督检测】paddle框架训练自己的数据集
qq_73804203的博客
05-08 766
本文简单介绍了我是如何用paddle框架半监督检测训练自己的数据集,操作步骤以及报错处理等仅供参考,希望能帮到大家!
半监督之数据加载
Z609834342的博客
06-19 1433
半监督数据加载:把需要设置为无标签样本的标签设置为-1,这样可以在交叉熵的时候设置忽略-1的标签 class_criterion = nn.CrossEntropyLoss(reduction='sum', ignore_index=NO_LABEL) 数据加载多种多样: 1.只有train, test,没有validattion。通过 torchvision.dataset非图片。 from torchvision import datasets from torch.utils.data i
台湾老李--半监督学习(无标签数据远远大于有标签数据)
qq_34514046的博客
07-12 3507
1、生成模型的半监督学习最大期望2、低密度分离(非黑即白)3、光滑假设(近朱者赤,近墨者黑)相同类之间应该有数据过度,一般不存在鸿沟基于图的方法,计算光滑度...
【最佳实践】半监督学习中对有监督数据集和无监督数据集的采样问题
sailist的记录站
01-01 6523
对于少量的有监督数据集和大量的无监督数据集,只用zip的话,那么取完有监督数据集后剩下的无监督数据集就浪费了,这个时候可以使用python内置的itertools,将其中的小部分变成循环采样: from itertools import cycle for idx, (sup_data, un_data) in enumerate(zip(cycle(sup_dataloader), unsup_...
算法论文/半监督1——2024最新半监督目标检测综述(CNN和Transformer)全文1.5W字
ZhouDevin的博客
12-10 1521
Semi-Supervised Object Detection: A Survey on Progress from CNN to Transformer
半监督学习:解锁未标记数据的潜在价值
AI天才研究院
01-07 911
1.背景介绍 半监督学习是一种机器学习方法,它在训练数据集中包含有标记和未标记的数据。这种方法尤其适用于那些缺乏足够的标记数据的问题,例如文本分类、图像分类和聚类等。半监督学习可以利用未标记数据的信息,提高模型的准确性和泛化能力。 在传统的监督学习中,需要大量的标记数据来训练模型。然而,收集和标记数据是时间和资源消耗较大的过程,特别是在大规模数据集和复杂的特征空间中。因此,半监督学习成为了一种...
从数据角度探索在新加坡的非法毒品
weixin_26746401的博客
09-07 2862
All things are poisons, for there is nothing without poisonous qualities. It is only the dose which makes a thing poison.” ― Paracelsus 万物都是毒药,因为没有毒药就没有什么。 只是使事物中毒的剂量。” ― 寄生虫 执行摘要(又名TL; DR) (Executiv...
第84期 违禁物品数据集
weixin_28916817的博客
08-20 368
引言 亲爱的读者们,您是否在寻找某个特定的数据集,用于研究或项目实践?欢迎您在评论区留言,或者通过公众号私信告诉我,您想要的数据集的类型主题。小编会竭尽全力为您寻找,并在找到后第一时间与您分享。 一、重要性及意义 违禁品检测的重要性及意义主要体现在以下几个方面: 维护公共安全 违禁品,如毒品、枪支弹药、易燃易爆物品等,都具...
File "D:\A-Software\Model-poisoning-attack-in-differential-privacy-based-federated-learning-main\main_fed_cifar_cnn.py", line 9, in <module> from torchvision import datasets, transforms处理问题
最新发布
03-23
[^1]: 引用[1]提到代码封装了数据相关功能,依赖`torchvision.datasets`加载标准数据集。 : 引用[2]强调环境配置问题,如系统路径和依赖库安装。 [^3]: 引用[3]指出联邦平均的实现需要数据预处理模块支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值