Adversarial Robustness - Theory and Practice

最新推荐文章于 2024-10-08 15:30:39 发布
原创 最新推荐文章于 2024-10-08 15:30:39 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#对抗攻击 # 对抗训练 # 鲁棒性 #科研

本文深入探讨了对抗性鲁棒性,包括对抗性例子的生成,如FGSM和PGD,以及如何通过对抗训练提高模型的抵抗力。在MINIST数据集上实验表明,对抗训练虽提升了对抗攻击的防御力,但会略微增加非对抗错误率。文章还讨论了外层最小化的优化策略,如凸松弛和局部搜索方法,以构建鲁棒模型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


Adversarial Robustness - Theory and Practice

第一章 - Introduction to adversarial robustness

我运行Adversarial Robustness-Theory and Practice.introduction代码,加载resnet50,看到在注入噪音后,pig图像被算法误认为是airliner。

第二章 - linear models

(1) 加载MINIST数据集

(2) 对数据进行常规训练,TEST_ERR错误率仅仅0.04%.

(3) 开始进行对抗攻击,随机干扰数EPSILON =0.2

(4) 实行对抗攻击,发现TEST_ERR的错误率从之前的0.04%骤升到85%左右。

(5) 然后进行鲁棒训练,最核心的是MODEL(X.VIEW(X.SHAPE[0], -1))[:,0] - EPSILON*(2*Y.FLOAT()-1)*MODEL.WEIGHT.NORM(1)

(6) 鲁棒训练完成后,任何对抗攻击不会让TEST_ERROR高于2.5%。此时非对抗攻击得到的TEST_ERROR的错误率是0.3%左右(这个结果是大于之前的0.04%的)。这是鲁棒训练20个周期的结果,我测试了下,如果加大训练周期,并不会让结果更优。
也就是说进行鲁棒训练会提升抵抗对抗攻击的能力,但是同时会小幅度提升TEST_ERROR的比率。

第三章 - Adversarial examples, solving the inner maximization

1.非针对性攻击

主要方法是FGSM和PGD。PGD是迭代更新,比FGSM的迭代次数多。但是当梯度很小的时候,传统的PGD的效果也不好,于是出现the (normalized) steepest descent method.相对于传统PGD算法,它的delta.data = (delta + alpha*delta.grad.detach().sign()).clamp(-epsilon,epsilon)。这种改进的PGD的表现仍然受到目标内局部最优可能性的限制,虽然不可能完全避免局部最优,但可以通过随机重启来缓解这个问题。

2.针对性攻击(基于改进的PGD->the (normalized) steepest descent method)

最大化真实label的损失函数,并最小化目标label的损失函数,这相当于解决内部优化问题。下面是几种损失函数设计

(1)loss = (yp[:,y_targ] - yp.gather(1,y[:,None])[:,0]).sum()

缺点:仅仅让非零数字欺骗分类器。原因在于我们是the class logit for the zero minus the class logit for the true class. 但是我们实际上并不关心其他类的情况。所以我们可以修改损失函数为下面这种。

(2)loss = 2*yp[:,y_targ].sum() - yp.sum()

缺点:不能达到100%正确率。

(3) 占个位,这个不太懂。

3.组合优化解决内部最大问题

有一些寻找边界区间界限的方法,但是被轻微扰动后,区间界限上下浮动比较大,不实用。最终用的方法是混合整数线性规划策略。代码部分主要是利用cvxpy构建了很多constraints。

关于优化这部分内容不需要细看。如果细看的话,估计2年也看不完。大概知道做什么的就行了。

第四章 - Adversarial training, solving the outer minimization

1. 方案目标

The goal of the robust optimization formulation, therefore, is to ensure that the model cannot be attacked even if the adversary has full knowledge of the model.
In other words, no matter what attack an adversary uses, we want to have a model that performs well.

2. 可选择方案

2.1 local gradient-based search (providing a lower bound on the objective) 基于局部梯度的搜索
2.2 exact combinatorial optimization (exactly solving the objective) 精确的组合优化 (不实用)
2.3. convex relaxations (providing a provable upper bound on the objective) 凸松弛

但是经过分析,法2不实用,最终的可行方案是下面两个

2.1.Using lower bounds, and examples constructed via local search methods, to train an (empirically) adversarially robust classifier.
2.3Using convex upper bounds, to train a provably robust classifier.

3. 方案实施

The basic idea is to simply create and then incorporate adversarial examples into the training process
the question arises as to which adversarial examples we should train on?

4. 代码

4.1 加载minist数据集
4.2 初始化model_cnn
4.3 定义fgsm、pgd函数
4.4 定义标准训练函数、对抗攻击函数
4.5 进行联合训练(基于cnn)

  opt = optim.SGD(model_cnn.parameters(), lr=1e-1)
   for t in range(10):
       train_err, train_loss = epoch(train_loader, model_cnn, opt)
       test_err, test_loss = epoch(test_loader, model_cnn)
       adv_err, adv_loss = epoch_adversarial(test_loader, model_cnn, pgd_linf)
       if t == 4:
           for param_group in opt.param_groups:
               param_group["lr"] = 1e-2
       print(*("{:.6f}".format(i) for i in (train_err, test_err, adv_err)), sep="\t")
   	
   torch.save(model_cnn.state_dict(), "model_cnn.pt")

So as we saw before, the clean error is quite low, but the adversarial error is quite high (and actually goes up as we train the model more). Let’s now do the same thing, but with adversarial training.
4.6 做一些happy的事情

opt = optim.SGD(model_cnn_robust.parameters(), lr=1e-1)
for t in range(10):
    train_err, train_loss = epoch_adversarial(train_loader, model_cnn_robust, pgd_linf, opt)
    test_err, test_loss = epoch(test_loader, model_cnn_robust)
    adv_err, adv_loss = epoch_adversarial(test_loader, model_cnn_robust, pgd_linf)
    if t == 4:
        for param_group in opt.param_groups:
            param_group["lr"] = 1e-2
    print(*("{:.6f}".format(i) for i in (train_err, test_err, adv_err)), sep="\t")
torch.save(model_cnn_robust.state_dict(), "model_cnn_robust.pt")

pretty good!

4.7 对比两个不同的cnn

  model_cnn_robust = nn.Sequential(nn.Conv2d(1, 32, 3, padding=1), nn.ReLU(),
                                    nn.Conv2d(32, 32, 3, padding=1, stride=2), nn.ReLU(),
                                    nn.Conv2d(32, 64, 3, padding=
最低0.47元/天 解锁文章

200万优质内容无限畅学
清华大学董胤蓬:Adversarial Robustness of Deep Learning
读芯术的博客
01-21 2356
不到现场,照样看最干货的学术报告!嗨,大家好。这里是学术报告专栏,读芯术小编不定期挑选并亲自跑会,为大家奉献科技领域最优秀的学术报告,为同学们记录报告干货,并想方设法搞到一手的PPT现...
Adversarial Robustness
my_god2008的博客
01-16 5293
Motivation: a limitation of the (supervised) ML framework\text{: a limitation of the (supervised) ML framework}: a limitation of the (superv...
Adversarial Robustness Toolbox: 机器学习安全的强大工具箱
最新发布
2401_87189860的博客
10-08 1396
Adversarial Robustness Toolbox(ART)是由IBM开发并捐赠给Linux Foundation AI & Data Foundation的开源项目,旨在为机器学习安全提供全面的工具支持。作为一个Python库,ART为开发人员研究人员提供了评估增强机器学习模型鲁棒性的强大工具集,帮助他们应对各种对抗性威胁。支持所有主流机器学习框架,如TensorFlow、Keras、PyTorch、MXNet、scikit-learn等覆盖所有数据类型,包括图像、表格、音频、视频等。
Adversarial Robustness Toolbox: 机器学习安全的强大工具
2401_87458718的博客
09-30 1304
Adversarial Robustness Toolbox (ART)是一个专门用于机器学习安全的开源Python库。它由IBM开发并于2020年7月捐赠给Linux Foundation AI & Data基金会。ART的主要目标是为开发人员研究人员提供工具,以评估、防御验证机器学习模型应用程序面对各种对抗性威胁的鲁棒性。ART支持所有主流的机器学习框架,包括TensorFlow、Keras、PyTorch、MXNet、scikit-learn等。
Adversarial Visual Robustness by Causal Intervention
qq_40731332的博客
06-28 514
Adversarial Examples. Defenders用于提高对抗鲁棒性,一些defenders受biological vision systems启发。整体来说,可以分为五类:(1) adversarial training; (2) data augmentation; (3) generative classifier; (4) de-nosing; (5) certified defense. Causality in Computer Vision. 造成对抗扰动的混淆因子通常是不可见.
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
: Demystifying the Principles of Generative Adversarial Networks (GANs): Essential Basics and ...
Introduction to Generative Adversarial Networks (GANs): Essential Basics and Techniques for Beginners Generative Adversarial Networks (GANs) represent a significant breakthrough in the field of deep...
基于视觉的机器人抓取: 论文及代码(Vision-based Robotic Grasping: Papers and Codes)
热门推荐
dsoftware的博客
10-22 2万+
最近总结了基于视觉的机器人抓取的相关论文及代码,同步于github。根据抓取的类别,基于视觉的机器人抓取可以分为两类:2D平面抓取以及6D空间抓取。这个页面总结了近年来涉及到的各种各样的方法,其中大部分都使用了深度学习。总结的中文框架结构如下: 0.综述论文 1. 2D平面抓取 这类方法将抓取,用平面内旋转的矩形框表示; 1.1基于RGB或者RGB-D的方法 采用基于目标检测类的方法,直接得到2D...
: Comprehensive Interpretation of GAN Loss Functions: Practical Techniques for Optimization and ...
In the study of Generative Adversarial Networks (GAN), the loss function plays a crucial role as it defines the rules of the adversarial game between the generator and discriminator. This chapter will...
Adversarial Robustness vs. Model Compression, or Both?
weixin_49171105的博客
01-03 497
众所周知,深度神经网络(DNN)容易受到对抗性攻击,这种攻击是通过在良性示例中添加精心设计的扰动来实现的。基于最小-最大鲁棒优化的对抗训练可以提供对抗性攻击的安全概念。然而,对抗鲁棒性需要比仅具有良性示例的自然训练更大的网络容量。本文提出了一种并行对抗训练权重修剪的框架,该框架在保持对抗鲁棒性的同时实现了模型压缩,并从本质上解决了对抗训练的困境。此外,本工作研究了传统环境中关于权重修剪的两个假设,并发现在对抗环境中,权重修剪对于减小网络模型大小至关重要;
PyTorch-Adversarial-示例:对CIFAR-10MNIST的对抗攻击
02-14
PyTorch顾问实例 对CIFAR-10MNIST的对抗攻击。 这些笔记本使用生成对抗示例,以攻击PyTorch模型。 将来可能会针对更多数据集提供更多方法。
从Bayesian Deep Learning到Adversarial Robustness新范式
Paper weekly
12-29 634
©作者 | 王灏、毛成志单位 | Rutgers University /Columbia University研究方向 | 贝叶斯深度学习/对抗鲁棒性拖延症赶在 2021 结束前来...
文献阅读--Certified Adversarial Robustness via Randomized Smoothing
学渣的博客
04-22 2万+
关键词:adversarially robust; Gaussian noise; L2-norm; randomization 这里写自定义目录标题1 概述2 背景2.1 研究现状3 挑战 1 概述 本文通过给分类器高斯噪声处理,使得新分类器对对抗攻击足够鲁棒。本文提出了“randomized smoothing” 技术并对其进行了严密的分析,进一步揭示了L2正则项高斯噪声的联系:==我们使用该技术来训练ImageNet分类器,例如,在l2范数小于0.5(=127/255)的对抗扰动下,认证的最高准确度
Towards Adversarially Robust Object Detection 论文笔记
qq_30146937的博客
03-16 1580
前言 许多工作证明分类器在面对对抗攻击adversarial attack)时是非常脆弱的,比如有一种对抗样本,它只对原图进行很轻微地修改,但是在视觉上与原图相比是完全不同的。因此也有很多工作致力于提升分类器的鲁棒性。 最近的一些工作发现,目标检测器也会由于蓄意设计的输入而受到攻击,如下图所示,展示了标准检测器鲁棒性更强的检测器分别检测cleanadversarial图像的效果,可以看到,标...
Clustering Effect of (Linearized) Adversarial Robust Models
weixin_46782905的博客
12-06 336
2021.12.6 第三篇(NeurIPS 2021)半精读
Reliable Evaluation of Adversarial Robustness with an Ensemble of Diverse Parameter-free attack
weixin_49171105的博客
08-10 860
本文首先提出了PGD攻击的两个扩展,以克服由于次优步长目标函数问题而导致的失败。然后,我们将我们的新攻击与两个互补的现有攻击结合起来,形成一个无参数、计算负担得起且独立于用户的攻击集合,以测试对手的鲁棒性。...
论文解读 | CVPR2024:想提升视觉语言模型的对抗鲁棒性?一个提示词够了!
AITIME_HY的博客
06-06 1586
点击蓝字关注我们AI TIME欢迎每一位AI爱好者的加入!概述 最近的研究表明CLIP、BLIP等一众大型预训练视觉语言模型 (VLMs) 十分容易被对抗样本(adversarial examples)诱导从而产生错误的、有害的输出,例如反社会的言论钓鱼网站链接。这一发现引起了人们对于那些部署在现实世界中的视觉语言模型的安全性可信赖程度的担忧。为了解决这一问题,本文从提示词(prompt)这一...
图像分类中的对抗鲁棒性
qq_40021158的博客
11-02 5661
Benchmarking Adversarial Robustness on Image Classification 图像分类中的对抗鲁棒性摘要1.引言2.威胁模型2.1 攻击者的目标2.2 攻击者的能力2.3 攻击者的知识3. 攻击与防御3.1攻击方法3.2 防御4. 评估方法4.1 评价指标4.2 评估数据集算法2.读入数据总结 摘要 深度神经网络容易受到对抗样本的攻击,这成为深度学习发展中最重要的研究问题之一。 尽管近年来已经做出了许多努力,但是对对手的攻击防御算法进行正确而完整的评估具有重
第五章通过mindspore实现FGSM网络对抗攻击
beimingiq314的博客
12-11 6603
随着我们对昇思平台了解的不断深入,我们可以尝试使用他完成一些更加深度有趣的内容。这次我们就一起来尝试以梯度符号攻击(Fast Gradient Sign Method,FGSM)为例,演示此类攻击是如何误导模型的。Szegedy在2013年最早提出对抗样本的概念:在原始样本处加入人类无法察觉的微小扰动,使得深度模型性能下降,这种样本即对抗样本。如下图所示,本来预测为“panda”的图像在添加噪声之后,模型就将其预测为“gibbon”,右边的样本就是一个对抗样本:图片来自。
配置adversarial-robustness-toolbox==1.7.2 torch==1.7.1 torchvision==0.8.2 numpy argparse tqdm pandas dill cox tables tensorboardX的步骤
05-24
以下是配置adversarial-robustness-toolbox==1.7.2 torch==1.7.1 torchvision==0.8.2 numpy argparse tqdm pandas dill cox tables tensorboardX的步骤: 1. 安装anaconda或者miniconda。 2. 创建一个新的conda环境,例如命名为art_env。可以使用以下命令创建新环境: ``` conda create -n art_env python=3.7 ``` 3. 激活新创建的conda环境: ``` conda activate art_env ``` 4. 安装PyTorch、torchvisionnumpy。可以使用以下命令安装: ``` conda install pytorch==1.7.1 torchvision==0.8.2 cudatoolkit=10.1 -c pytorch conda install numpy ``` 5. 安装其他必要的库,如argparse、tqdm、pandas、dill、cox、tablestensorboardX。可以使用以下命令安装: ``` pip install argparse tqdm pandas dill cox tables tensorboardX ``` 6. 安装adversarial-robustness-toolbox==1.7.2。可以使用以下命令安装: ``` pip install adversarial-robustness-toolbox==1.7.2 ``` 7. 验证环境是否配置成功。可以在Python交互式环境中输入以下代码来验证: ``` import torch import art print("PyTorch version:", torch.__version__) print("ART version:", art.__version__) ``` 如果以上代码可以正常运行并输出版本信息,那么表示环境配置成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值