人工智能顶会ICCV2021《On the Robustness of Vision Transformers to Adversarial Examples》论文解读

最新推荐文章于 2025-05-16 09:15:00 发布
原创 最新推荐文章于 2025-05-16 09:15:00 发布 · 1.5k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#人工智能 #深度学习 #神经网络 #机器学习 #python #transformer

论文探讨了视觉变换器ViTs在对抗性攻击中的表现,发现它们在白盒攻击下与CNNs相当,但自注意力GradientAttack(SAGA)展示了ViTs的脆弱性。SAGA利用自注意力优化攻击效率,同时在黑盒攻击下集成模型显示更强鲁棒性。

这里写目录标题

引言

视觉变换器(Vision Transformers,简称ViTs)在图像分类中的应用具有显著的优势。ViTs通过将图像划分为一系列小块(patches),然后将它们视为一个序列来处理。这种方法使得ViTs能够捕捉到图像的全局特征,而不仅仅是局部特征。ViTs利用自注意力(self-attention)机制来理解图像块之间的关系,这使得模型能够更有效地处理图像中的重要部分。与传统的卷积神经网络(CNNs)相比,ViTs在处理图像分类任务时更能理解和利用图像的整体结构,提供了更好的分类性能。此外,ViTs在处理更大和更复杂的图像数据集时显示出了更好的扩展性和泛化能力。

对抗攻击是一种旨在欺骗机器学习模型的技术。在这种攻击中,攻击者轻微但有意地修改输入数据(如图像),以使机器学习模型做出错误的预测或分类。这些修改通常对人眼来说几乎是不可察觉的,但却能导致模型性能大幅下降。

对于传统的卷积神经网络(CNNs),对抗攻击尤其具有破坏性。CNNs通常在图像识别和分类任务中表现出色,但它们对输入数据的微小变化非常敏感。因此,通过对抗攻击引入的微小变动可以使CNNs做出完全错误的预测。这暴露了CNNs在处理图像时的一个重要弱点,即它们在理解图像整体内容和结构时的脆弱性。这种脆弱性对于安全关键的应用(如自动驾驶车辆的视觉系统)来说是一个重大问题,需要通过改进模型设计和采用更复杂的防御机制来解决。

论文目的和研究重点

这篇论文的主要目的是研究视觉变换器(Vision Transformers,简称ViTs)在对抗性攻击下的鲁棒性。作者们关注的是ViTs在标准白盒和黑盒攻击下的表现、CNNs与ViTs之间对抗性实例的可转移性,以及简单集成防御策略的安全性。通过这些研究,论文旨在深入了解ViTs在面对这些挑战时的性能和安全性,从而推动对抗性机器学习领域的发展。

这篇论文的研究主要集中在三个方面:

  1. 白盒攻击下的视觉变换器安全性

    • 研究视觉变换器(Vision Transformers,简称ViTs)在白盒攻击条件下是否比传统的卷积神经网络(CNNs)更安全。作者们使用六种标准的白盒对抗性机器学习攻击,攻击视觉变换器、Big Transfer模型和传统CNNs(例如ResNets)。结果显示,在白盒攻击条件下,视觉变换器与其他模型一样容易受到攻击。

  2. 视觉变换器与其他模型间对抗性实例的可转移性研究

    • 探讨在视觉变换器和其他非变换器模型之间对抗性实例的可转移性。实验涉及CIFAR-10和CIFAR-100的八个模型(包括四个视觉变换器,两个Big Transfer模型和两个ResNets),以及使用七个模型(包括三个视觉变换器,两个Big Transfer模型和两个ResNets)研究ImageNet上的视觉变换器的可转移性。研究发现,视觉变换器和其他非变换器模型间的对抗性实例可转移性出奇地低。

  3. 利用可转移性现象提供安全性的分析

    • 研究如何利用对抗性实例的可转移性来提高安全性。这一部分分为白盒和黑盒分析。在白盒分析中,作者开发了一种新的白盒攻击方法,称为自注意力混合梯度攻击(Self-Attention blended Gradient Attack,简称SAGA),结果表明无法利用可转移性现象来实现白盒安全性。然而,在黑盒攻击条件下,通过结合视觉变换器和Big Transfer模型的简单集成,可以在不牺牲清洁准确性的情况下实现前所未有的鲁棒性。

Self-Attention Gradient Attack

Self-Attention Gradient Attack (SAGA)是一种专门设计用来同时破坏视觉变换器(Vision Transformers, ViTs)和卷积神经网络(CNNs)的新型白盒攻击。以下是其详细的攻击过程:

  1. 攻击动机:SAGA的动机是证明即使是ViTs和Big Transfer Models的简单集成也不能在白盒攻击下提供安全性。例如,假设有一个集成模型由ViT-L-16和BiT-M-152x4组成,通过分析这两种模型的低可转移性,SAGA演示了仅攻击一个模型生成的对抗样本不足以评估集成模型的安全性。
  2. 数学描述:SAGA假设攻击者了解集成防御中的模型和训练参数。不同于完全专注于优化单一模型,SAGA旨在同时破坏多个模型。给定一个由视觉变换器集合V和CNNs集合K组成的集成,攻击者的目标是创造一个对抗样本 ( x_{\text{adv}} ),使得所有V和K中的成员都误分类。
  3. 对抗样本的迭代计算:对抗样本通过以下公式迭代计算:
    x adv ( i + 1 ) = x adv ( i ) + s × sign ( G blend ( x adv ( i ) ) ) x_{\text{adv}}^{(i+1)} = x_{\text{adv}}^{(i)} + s \times \text{sign}(G_{\text{blend}}(x_{\text{adv}}^{(i)})) xadv(i+1)=xadv(i)+s×sign(Gblend(xadv(i)))
    其中, x adv ( 1 ) = x x_{\text{adv}}^{(1)} = x xadv(1)=
最低0.47元/天 解锁文章
【大模型】大语言模型简介
AI天才研究院
04-03 2万+
因此,模型规模增长是必然趋势,当推进大模型规模不断增长的时候,涌现能力的出现会让任务的效果更加出色。有趣的是,当参数规模超过一定水平时,这些扩大的语言模型不仅实现了显着的性能提升,而且还表现出一些小规模语言模型所不具备的特殊能力。如 Google 发布的多模态具身视觉语言模型 PaLM-E,由540B 的 PaLM 文本模型和 22B 的 VIT 图像模型构成,两者集成处理多模态信息,所以它的总模型规模是 566B。随着模型规模的不断增长,任务效果也持续增长,说明这类任务对大模型中知识蕴涵的数量要求较高。
VITS(Conditional Variational Autoencoder with Adversarial Learning)论文解读及实现(一)
weixin_42529756的博客
01-14 2555
文章为文本转语音论文VITS论文解读部份,VITS是一篇集大成的文章,包含常用的生成模型,如GAN,FLOW,GAN,VAE,Sequece-to-Sequence,
Towards Efficient Adversarial Training on Vision Transformers
weixin_49171105的博客
02-21 971
视觉转换器(ViT)作为卷积神经网络(CNN)的有力替代方案,受到了广泛的关注。最近的研究表明,vit也容易受到cnn等对抗实例的攻击。为了构建健壮的vit,一种直观的方法是应用对抗性训练,因为它已被证明是实现健壮cnn的最有效方法之一。然而,对抗训练的一个主要限制是它的计算成本很高。ViTs采用的自注意机制是一种计算强度较大的操作,其费用随着输入补丁数量的增加而成倍增加,使得ViTs上的对抗性训练更加耗时。在这项工作中,我们首先全面研究了各种视觉转换器上的快速对抗训练,并说明了效率与鲁棒性之间的关系。
论文汇总】人工智能会深度主动学习(Deep Active Learning)相关论文
weixin_42126945的博客
03-11 6068
汇总自2017年至今,ICCV\CVPR\NIPS\ECCV会议上发表的深度主动学习(Deep Active Learning)相关文章,划分类别为图像分类、语义分割、目标检测及其它方向。 图像分类 Conference Ttite ICCV 2017 Active Decision Boundary Annotation with Deep Generative Models ICCV 2019 Variational Adversarial Active Learning IC
FAN(Understanding The Robustness in Vision Transformers)论文解读,鲁棒性和高效性超越ConvNeXt、Swin
weixin_38353277的博客
05-05 2677
FAN(Understanding The Robustness in Vision Transformers)论文解读,鲁棒性和高效性超越ConvNeXt、Swin
ICCV2021 | 视觉 Transformer 对对抗样本的鲁棒性研究
四口鲸鱼爱吃盐的博客
04-29 1180
本文 “On the Robustness of Vision Transformers to Adversarial Examples” 围绕视觉 Transformer(ViT)对对抗样本的鲁棒性展开研究。通过白盒攻击和黑盒攻击测试多种 ViT、BiT-M和CNN,发现 ViT 在白盒攻击下和其他模型一样脆弱;同时,研究发现对抗样本在不同模型类别间迁移率较低。为此提出用不同模型的集成作为防御手段,设计自注意力混合梯度攻击证明集成防御在黑盒攻击下,基于集成的防御能显著提升鲁棒性,且不牺牲干净准确率。
机器学习人工智能论文列表汇总
唐申庚的博客
11-05 5113
会议分类 人工智能综合会议:IJCAI, AAAI 计算机视觉的会议:CVPR, ICCV, ECCV 机器学习类的会议:ICML, NeurIPS 自然语言处理会议:ACL 多媒体计算的会议:ACMMM 数据与信息的会议:SIGIR, SIGKDD 其他相关部分会议:WWW, SIGGRAPH, ICLR 会议链接(2019 & 2020) IJCAI IJCAI2019 会议网站.........
CVPR2023对抗攻击相关论文
qq_45822394的博客
04-21 3836
在各种计算机视觉应用中,现实世界的对抗性物理补丁被证明在妥协最先进的模型中是成功的。基于输入梯度或特征分析的现有防御已经被最近基于 GAN 的攻击所破坏,这些攻击会产生自然补丁。在本文中,我们提出了Jedi,这是一种针对对抗性补丁的新防御,它对现实补丁攻击具有弹性。Jedi从信息论的角度解决了补丁定位问题;利用两个新的思想:(1)利用熵分析改进了潜在斑块区域的识别:我们发现即使在自然斑块中,对抗斑块的熵也很高;(2)使用能够从高熵核中完成补丁区域的自编码器,提高了对抗性补丁的定位。
ICCV2017论文摘要汇总
super_chicken的博客
04-18 7454
1. Globally-Optimal Inlier Set Maximisation for Simultaneous Camera Pose and Feature Correspondence Abstract: Estimating the 6-DoF pose of a camera from a single image relative to a pre-computed 3D p...
论文合集】Awesome Backdoor Learning
m0_61899108的博客
05-19 3987
关于后门攻击&防御的博客与论文
VITS论文阅读
qq_49368998的博客
11-06 713
文本转语音(TTS)系统通过几个组件从给定文本合成原始语音波形。随着深度神经网络的快速发展,除了文本预处理(如文本规范化和音素化)之外,TTS系统管道已简化为两阶段生成建模。第一阶段是从预处理文本生成中间语音表示,如梅尔频谱图或语言特征,第二阶段是在中间表示条件下生成原始波形。这两个两阶段管道中的模型是独立开发的。基于神经网络的自回归TTS系统显示出合成逼真语音的能力,但其顺序生成过程使得难以充分利用现代并行处理器。为克服这一局限性并提高合成速度,提出了几种非自回归方法。
论文阅读:VITS2: Improving Quality and Efficiency of Single-Stage Text-to-Speech with Adversarial
qq_39247879的博客
08-09 3580
单阶段文本到语音模型最近被积极研究,其结果优于两阶段管道系统。以往的单阶段模型虽然取得了较大的进展,但在间歇性非自然性、计算效率、对音素转换依赖性强等方面仍有改进的空间。本文提出VITS2,一种单阶段的文本到语音模型,通过改进之前工作的几个方面,有效地合成了更自然的语音。本文提出了改进的结构和训练机制,所提出的方法在提高多说话人模型中语音特征的自然度、相似性以及训练和推理效率方面是有效的。证明了所提出方法可以显著减少以前工作中对音素转换的强依赖,允许完全端到端单阶段方法。
狗都能看懂的Vision Transformer的讲解和代码实现
热门推荐
个人学习笔记
01-24 6万+
狗都能看懂的Vision Transformer和代码复现
阅读文献1:Bootstrapping ViTs: Towards Liberating Vision Transformers from Pre-training(文章翻译及自身的理解和总结)
m0_51440939的博客
05-27 1611
Bootstrapping ViTs: Towards Liberating Vision Transformers from Pre-training(文章翻译及自身的理解和总结) 萌新第一次写文章,有什么不对还请各位大佬多多指正。我写这个文章的目的是把我自己平时看文献学到的知识学习记录下来,方便我之后去查阅,顺带发布在优快云上,因为很多东西我也是第一次基础,报着从0开始的态度去学习! (文章已获得作者的授权~)
TTS | 保姆级端到端的语音合成VITS论文详解及项目实现(超详细图文代码)
weixin_44649780的博客
09-18 1万+
提出一种TTS模型框架VITS,用到normalizing flow和对抗训练方法,提高合成语音自然度,其中论文结果上显示已经和GT相当。是结合了VAE和FLOW的新架构。在俩各数据集中的实验结果论文的主要贡献:首个自然度超过2-stage架构SOTA的完全E2E模型。MOS4.43, 仅低于GT录音0.03。得益于图像领域中把Flow引入VAE提升生成效果的研究,成功把Flow-VAE应用到了完全E2E的TTS任务中。训练非常简便,完全E2E。
MB-iSTFT-VITS 模型论文思路与实验分享:基于VITS架构优化的轻量级文本转语音模型
m0_56942491的博客
06-15 2571
首先我们来看看语音合成的质量如何。这里就直接放原论文中作者做的实验结果了,作者使用的是ONNX版本的:这里面 MB-iSTFT-VITS 就是咱们的主角。MOS(平均意见分数)代表了语音合成质量,Params 表示参数数量,RTF 是实时率也就代表了合成速度。这里也包括了使用可训练滤波器的 MS-iSTFT-VITS、只使用 iSTFT 而没有使用多频段生成策略的 iSTFT-VITS ,以及它们的 mini 版本(单纯砍参数)的相关结果。感兴趣的读者可以看一下原文。
AAAI2024 | 基于特征多样性对抗扰动攻击 Transformer 模型
最新发布
四口鲸鱼爱吃盐的博客
05-16 1253
本文 “Attacking Transformers with Feature Diversity Adversarial Perturbation” 提出一种针对基于 Vision Transformer(ViT)模型的无标签白盒攻击方法Feature Diversity Adversarial Perturbation(FDAP)。
对抗攻击与防御(2022年刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
算法探索之路
03-19 6211
2022年 关于对抗攻击跟防御的全部会、论文
深度学习领域ICCV2021论文合集免费下载
深度学习的另一个研究领域,视频问答,论文" On the hidden treasure of dialog in video question answering"可能关注于改善视频问答系统。在该论文中可能探讨了对话在处理视频内容理解中的角色,例如如何通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

懒惰才能让科技进步

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值