ILFO:Adaversarial Attack on Adaptive Neural Networks

最新推荐文章于 2024-10-13 11:15:04 发布
最新推荐文章于 2024-10-13 11:15:04 发布
阅读量592 收藏
点赞数
分类专栏: Adversarial Attack 文章标签: 人工智能 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_36059653/article/details/115753503
版权
ILFO是一种针对Adaptive Neural Networks(AdNNs)的对抗攻击方法,旨在通过添加扰动增加模型的计算量和资源消耗。攻击主要针对两种类型的AdNNs:早期终止和条件跳过。通过优化目标和特定的损失函数,攻击者可以增加模型的ponder cost或gate输出,以达到增加计算资源使用的目的,同时保持对抗样本与原始样本的视觉相似性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

ILFO:Adaversarial Attack on Adaptive Neural Networks

论文收录于CVPR 2020

文章目录

背景

神经网络在一般情况下,模型规模越大,效果越好。但模型跑起来是很耗费资源的,尤其是大型网络,对手持或嵌入式设备很不友好,于是就引发了很多人去研究节约资源的方法。现有的节约资源的方法可以分为两类:

  • On-device Neural Networks(ODNN): 通过低维的filter或更改filter的尺寸来减少计算量
  • Adaptive Neural Networks(AdNNs): 根据输入动态地停用部分模型来减少计算量 (本文考虑内容)
    • early-termination 代表模型SACT
    • Conditional-skip 代表模型SkipNet

攻击

模型资源的鲁棒性考虑的是输入与其相应的资源消耗之间的关系。

本文的攻击是针对于AdNNs的,通过对图片添加扰动,使生成的图片在AdNNs模型推断的时候,增加计算量,从而使其所用的资源增加,破坏模型的可用性。

AdNNs的工作机制如图所示:
在这里插入图片描述
在DNN Block或Layer之间有一个小的计算单元,其产生的中间结果决定下一Block或Layer上的操作,有两种操作形式:一种是早停,一种是跳过, 以此来减少计算量。

攻击目标:
1、被攻击后的样本应该增加推理时的计算量
2、原样本和对抗样本应该无法区分

定义中间输出的状态:

  • desirable state(des): 在推理时中间输出的最大计算量
  • current state(cur): 在推理过程中实际的计算量

优化方法:

minimize( δ \delta δ + c · f(x + δ \delta δ)) such that (x + δ \delta δ) ∈ \in [0, 1]n

其中c是一个正常量,f(·)是损失函数,表示des的cur之间的距离。

攻击形式
Attacking Early-termination AdNN

使用模型SACT, SACT的工作机制如下图:
在这里插入图片描述
在一个残差块(residual block)中,每一层(layer)都会计算每个位置上的halting score,同一位置上的halting score累加和只有小于1才会激活接下来该位置的计算。为了方便进行攻击,最终每个块都会基于halting score生成Ponder Cost Map。

攻击方式: 通过增加每个位置上的ponder cost来增加每个位置上的计算量。
攻击过程示例如下图所示:
在这里插入图片描述
在这里插入图片描述

<
最低0.47元/天 解锁文章
论文翻译八:An Adaptive Neural Network Approach for Automatic Modulation Recognition
进击者笔记
12-22 831
30天挑战翻译100篇论文 坚持不懈,努力改变,在翻译中学习,在学习中改变,在改变中成长… An Adaptive Neural Network Approach for Automatic Modulation Recognition 一种自适应神经网络的自动调制识别方法 Yasaman Ettefagh § , Mohammad Hossein Moghaddam ‡ , and Sajjad Eghbalian † § Department of Electrical Engineering, Ami
对《Mode-Adaptive Neural Networks for Quadruped Motion Control》一文的理解(上)
热门推荐
Arcobaleno
03-15 3万+
该篇文章发表于SIGGRAPH2018,作者HE ZHANG † , University of Edinburgh、SEBASTIAN STARKE , University of Edinburgh TAKU KOMURA, University of Edinburgh、JUN SAITO, Adobe Research (话说SEBASTIAN STARKE似乎长的很帅 - - 。咳) ...
深度学习算法中的自适应神经网络(Adaptive Neural Networks
牛肉胡辣汤
09-23 8901
在增量学习场景中,我们通过一个数据生成器(incremental_data_generator)不断获取新的数据样本,并将其添加到原有的数据集中,然后重新训练模型。上述代码中,我们定义了一个自适应神经网络模型(AdaptiveNeuralNetwork),并使用该模型进行目标跟踪任务的训练和预测。在预测过程中,我们使用训练好的模型对新的测试数据进行预测,并输出预测的标签。自适应神经网络是一种具有自适应能力的神经网络模型,可以根据环境和数据的变化自动调整其结构和参数,以适应不同的任务和数据分布。
RaspberryPiMinecraft 项目教程
gitblog_00098的博客
06-14 438
RaspberryPiMinecraft 项目教程 RaspberryPiMinecraft Configuration files and performance testing scripts to setup and optimize a dedicated Minecraft (PC Java version) ...
Domain Adaptive Neural Networks for Object Recognition
gdtop的个人笔记
04-12 4564
本篇是迁移学习专栏介绍的第五篇论文,PRICAI 2014的DaNN(Domain Adaptive Neural Network)。 Abstract 提出了一种简单的神经网络模型来处理目标识别中的Domain Adaptive问题。我们的模型将Maximum Mean Discrepancy(MMD)作为正则化方法引入监督学习中,以减少潜在空间中源域和目标域的分布不匹配。从实验中,我们证明...
《Adversarial Attacks on Neural Network Policies》阅读笔记
孤山的都灵族如果不会打铁怎么办
03-24 647
目录摘要介绍白盒攻击过程 摘要 对抗攻击可以攻击基本的神经网络模型,攻击常见的深度学习任务(如分类、识别)等,仅需要通过修改一像素的值,就可以使得神经网络输出目标结果,并且在白盒与黑盒场景下均可以攻击成功。值得注意的是,考虑到现实任务中积攒的数据往往总是那么规整,全面,且需要人工智能模型参与决策的任务变得非常服啊,对无监督学习、强化学习模型的攻击(在某些应用场景下也可以理解为测试)也需要考虑到其特质,进行进一步研究。本文提出目前的对抗攻击策略也能用于攻击强化学习策略。 介绍 强化学习没有大量的标记好的训练样
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
【论文阅读笔记】NeurIPS2020文章列表Part1
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
2021年9月_IEEE Transactions on Image Processing_科技前言热点调查表
Haimerdinger的博客
11-03 3477
IEEE Transactions on Image Processing文献跟踪 2021年9月 • 30卷 • 第9期 文献名/代码/相关性 方向 对象 实验方式 工作 亮点 数据集 Geometry Auxiliary Salient Object Detection for Light Fields via Graph Neu.
Mode-Adaptive Neural Networks for Quadruped Motion Control 论文
linchunmian的博客
04-04 363
# 摘要动物的四足动作包括各种步态,如散步,步伐,小跑和跑步,以及诸如跳跃,坐姿,转身和怠速等动作。应用现有的特性控制框架来解决动物的四足运动问题需要大量的数据及繁琐的数据预处理,例如动作的标注和对齐等。在本文中,我们提出了一种新型的神经网络架构,称为模式自适应神经网络,用于控制动物的四足运动特性。该系统由运动预测网络和门控网络组成。给定前一帧的运动状态和用户提供的控制信号,运动预测网络会计算出当...
谈一谈在OCR/场景文本识别中的对抗攻击
一个nlp探险者的博客
04-22 6082
引言 目前对抗攻击在计算机视觉中如火如荼,作为计算机视觉的一个子领域OCR,文本识别和文本检测领域中对抗攻击的任务并不多,其中文本检测可以说是一种目标检测的任务,所以目标检测的攻击方法可以直接应用在文本检测中;文本识别是一种序列分类的任务和很多图像分类任务不同,所以攻击方法不能直接迁移,下面我们对三篇论文来看一看他们的攻击思路。 Adaptive Adversarial Attack on Sce...
2020CVPR对抗样本相关论文整理(无开源代码)
ilalaaa的博客
11-29 3822
目录攻击防御 攻击 1. Polishing Decision-Based Adversarial Noise With a Customized Sampling. 《通过自定义采样产生基于决策的对抗性噪声》 作为有效的黑盒对抗攻击,基于决策的方法通过查询目标模型来消除对抗噪声。 其中,边界攻击由于其强大的噪声压缩能力而被广泛应用,尤其是与基于传输的方法结合使用时。 边界攻击将噪声压缩分为几个独立的采样过程,并以恒定的采样设置重复每个查询。 本文演示了使用当前噪声和历史查询来定​​制边界攻击中的方差和
Adaptive Modeling Against Adversarial Attacks顶会论文总结
最新发布
weixin_45320238的博客
10-13 1007
对抗性训练是用对抗性数据训练深度学习模型的过程,是深度学习模型最成功的对抗性防御方法之一。我们发现,如果在推理阶段对该模型进行微调,使其适应带有额外信息的对抗输入,则可以进一步提高对抗性训练模型对白盒攻击的鲁棒性。我们引入了一种算法,在原始输出类和“邻居”类之间使用现有的训练数据在推理阶段对模型进行“后训练”。预训练的FastFGSM CIFAR10分类器基模型对白盒投影梯度攻击(white-box projected gradient attack, PGD)的准确率从46.8%显著提高到64.5%。
图卷积神经网络+图深度学习对抗攻击Adversarial Attacks on Neural Networks for Graph Data
travalscx的博客
12-01 4801
图卷积神经网络 GCN入门了解的一个超级好的博客 https://www.jianshu.com/p/89fbed65cd04?winzoom=1 在这篇论文Adversarial Attacks on Neural Networks for Graph Data中,总结了GCN: 论文中描述了一个单隐层的目的是用来做节点分类的GCN Adversarial Attacks on Neural ...
读书笔记17:Adversarial Attacks on Neural Networks for Graph Data
b224618的博客
09-05 7972
https://arxiv.org/pdf/1805.07984.pdf 看过之后有一个思考,adversarial attack的目标是事先选定一个class,然后选择攻击方式,尽可能使得模型把样本分类成这个类别,并且class probability和原class的probability拉开差距,但是可不可以将目标设定为最小化原分类class的probability,也就是只将目标定位为使t...
论文阅读笔记——Adversarial Attack on Attackers Post-Process to
Wendy_094的博客
11-06 637
提出了一种针对 SQAs 的新型的防御方式——Adversarial Attack on Attackers (AAA), confound the score-based query attacks (SQAs) towards incorrect attack directions by slightly modifying the output logits.优点:预防了SQAs(effective);CA不掉;改进置信度分数的标准(user-friendly);通用性好;
基于图神经网络的对抗攻击 Nettack: Adversarial Attacks on Neural Networks for Graph Data
随便记记笔记
12-23 6656
我来讲一些关于图神经网络上的攻击和防御手段。 随着GNN的应用越来越广,在安全非常重要的应用中应用GNN,存在漏洞可能是非常严重的。 比如说金融系统和风险管理,在信用评分系统中,欺诈者可以伪造与几个高信用客户的联系,以逃避欺诈检测模型。 或者垃圾邮件发送者可以轻松地创建虚假的关注者,向社交网络添加错误的信息,以增加推荐和传播重大新闻的机会,或者操控在线评论和产品网站。 因此,我们需要研究对图神经网络的攻击和防御,在我们真正部署一个模型前,应该确认一下这个模型在面对对抗攻击的时候足够健壮? ...
谈谈Adversarial Autoencoders
加勒比海鲜王
09-04 1万+
保留初心,砥砺前行 最近看了Adversarial Autoencoders(以下简称AAE)这篇paper,就随便写几句笔记。paper链接,点我1. 概述:GAN和VAE是近年来很火的生成模型(关于GAN,我之前写过几篇了,需要的话点击文末的相关链接即可),对于这两个模型的研究层出不穷,变体无数,而将这两者结合也是一种优秀的思路。GAN说白了就是对抗,VAE就是一种Autoencoders,而本
Adaptive Normalized Risk-Averting Training for Deep Neural Networks
04-01
Adaptive Normalized Risk-Averting Training (ANRAT) is a method for training deep neural networks that aims to improve the robustness and generalization of the model. The main idea behind ANRAT is to incorporate risk aversion into the training process, which encourages the model to make more conservative predictions that are less likely to result in high losses. ANRAT achieves this by introducing a penalty term into the loss function that penalizes the model for making risky predictions. The penalty term is based on the normalized risk, which is a measure of the expected loss associated with a particular prediction. During training, ANRAT adapts the penalty term based on the current state of the model. Specifically, the penalty term is increased if the model is making risky predictions, and decreased if the model is making more conservative predictions. This adaptive approach helps the model to learn to balance between making accurate predictions and avoiding risky predictions. ANRAT has been shown to improve the robustness and generalization of deep neural networks across a range of tasks, including image classification and natural language processing. It has also been shown to be effective in mitigating the effects of adversarial attacks. Overall, ANRAT is a promising approach for training deep neural networks that takes into account the risk associated with different predictions and encourages the model to make more conservative and robust predictions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值