DeepFool公式理解

已于 2022-10-12 16:21:44 修改
阅读量774 收藏 12
点赞数 4
分类专栏: 神经网络对抗攻击论文阅读 文章标签: 算法
于 2022-10-11 14:32:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zyxzyxzyx2495310073/article/details/127259494
版权

参考:https://posts.careerengine.us/p/5ff6b16ae83b0349b1f7c3a3

1、二范数

 论文中:

         以上是鲁棒性定义,即给定一个分类器,样本鲁棒性是使得模型出现误分类的最小扰动,即为干净的样本,为模型预测的标签。是分类器处鲁棒性。
模型在整个数据集上的鲁棒性定义为:

 这是一种期望的形式。作者的这种定义是在分母中都除以一个样本的 2 范数。模型鲁棒性是更好地理解当前网络体系结构的局限性和设计增强健壮性的方法的关键。

2、DeepFool攻击二分类器

 图2:线性二进制分类器的对抗样本。

 上图为对抗样本攻击线性分类器的图示。其中为一个二分类器。为干净样本点的最短距离,即为样本点在分类器中的鲁棒性。

 =0   为分类超平面。

目标函数如下:

意思是:改变分类器决策的最小扰动对应于  x0  在  F  上的正交投影。它由以上解析公式给出。

为了更好的理解上图对抗样本攻击二分类器的原理,我重新画了一个图来对其进行解释。如下图所示,在二维平面中,有一条直线和一个点 ,其中直线的法向量为,由高中的点到直线的距离知识可知点到直线的距离为:

 

 3、论文给出的最终公式如何推导?

上面目标函数可以通过迭代的方式来进行求解以获得最小对抗扰动,可以重新转换成如下的优化形式:

 下面为具体的推导过程:

已知梯度(函数在当前位置的导数) ,所以有:

又因为梯度的模长为 1,所以两边同乘以有:

 最后,移项可得到最终论文中给出的公式:

 4、DeepFool攻击多分类器

 介绍完 DeepFool 攻击二分类器,这一节介绍有关 DeepFool 攻击多分类器。分类器预测标签如下公式所示:

 其中, 是预测概率向量的第 k 类的概率分量。多分类器模型误分类的优化函数如下所示:

 为了更好的理解以上优化形式的含义,自己做了一个图示便于理解。如下图所示,左半部分是干净样本的概率向量的输出,预测的类别为 ,加入对抗扰动后,预测类别变成了 。

 如下图实例所示,已知一个四分类器,干净样本被分为第四类中。绿色区域为一个凸区域可以表示为:

 根据高中的点到直线的距离公式,可以推算得知点到三条边界最短的距离的计算公式为:

 与 DeepFool 攻击二分类器相似,则多分类器的对抗扰动为:

 下面是自己的理解:

 5、非线性多分类

对抗训练:提升模型对对抗样本的抵抗力
AI天才研究院
05-03 657
1. 背景介绍 深度学习模型在图像识别、自然语言处理等领域取得了显著的成果,但研究发现,这些模型容易受到对抗样本的攻击。对抗样本是指在原始样本中添加微小的、人类难以察觉的扰动而生成的样本,这些扰动却能导致模型做出错误的预测。对抗样本的存在对深度学习模型的安全性构成了严重威胁,例如,在自动驾驶系统中,对抗样本可能导致车辆识别错误,引发交通事故。
论文那些事—DeepFool: a simple and accurate method to fool deep neural networks
shuweishuwei的博客
10-08 804
Elastic-Net Attacks to Deep Neural Networks via Adversarial Examples(通过对抗样本对深层神经网络的弹性网络攻击) 1、摘要及背景
DeepFool笔记:对原理的理解公式推导(多分类)
Niatruc的博客
04-13 1126
对多分类的理解 在多分类器中,输出向量由输入x属于各个分类的概率组成。若输出的向量中某个类对应的概率高,则判定输入的样本属于该类。 将每个类别CkC_kCk​对应一个决策超平面ckc_kck​,平面两端分别表示“属于该分类”(CkC_kCk​)和“不属于该分类”(Ck‾\overline{C_k}Ck​​)。假设一个三分类器(如图,C4C_4C4​先忽视),于是对于C3C_3C3​分类区域,它是c1‾\overline{c_1}c1​​、c2‾\overline{c_2}c2​​和c3c_3c3​的交集。
对抗样本(五)DeepFool
白丁的博客
03-19 2796
文章目录一、论文相关信息  1.论文题目  2.论文时间  3.论文文献二、论文背景及简介三、论文主要内容1、Introduction2、DeepFool For Binary Classifiers3、DeepFool For Multiclass classifiers3.1 Affine Multiclass Classifier(线性的多分类分类器)3.2 General Classfie...
DeepFool论文解读
weixin_40872714的博客
10-18 938
作者首先定义了对抗攻击的范式和模型的鲁棒性。   通常,对与一个给定的模型,能够改变分类器 k^(x)\hat{k}(x)k^(x) 的分类结果的最小对抗扰动 rrr 定义如下 Δ(x;k^):=min⁡r∥r∥2    subject to  k^(k+r)≠k^(x) \Delta(x;\hat{k}):=\min_r\|r\|_2\;\;\text{subject to}\; \hat{k}(k+r) \not=\hat{k}(x) Δ(x;k^):=rmin​∥r∥2​subject tok^(k
DeepFool
qq_38037870的博客
03-03 348
1.参考 1111 在求对线性二分类器的最小扰动中,原文图如下。这里是二维平面,所以看图理解的时候应把样本看成有两个特征(分别沿横纵轴取值);决策超平面是一条直线wx+b=0。最小扰动向量的大小是从样本到决策超平面的距离,方向与超平面的法向量相反) ...
DeepFool: a simple and accurate method to fool deep neural networks.pdf
03-25
根据提供的文件信息,这篇论文的标题是"DeepFool: a simple and accurate method to fool deep neural networks.pdf",描述是"DeepFool: a simple and accurate method to fool deep neural networks.pdf",标签是...
经典对抗攻击Deepfool原理详解与代码解读
热门推荐
Paper weekly
08-17 1万+
©PaperWeekly 原创 · 作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成论文标题:DeepFool: a simple and accurate...
[paper]DeepFool: a simple and accurate method to fool deep neural networks
weixin_43150428的博客
05-09 578
本文目标是寻求最小的扰动来达到生成对抗样本的目标,因此提出了DeepFool算法来生成扰动,并且提出了一种量化分类器鲁棒性的方法。 这是第一个通过计算出最小的必要扰动,并应用到对抗样本构建的方法,使用的限制扰动规模的方法是L2范数。最终得到的对抗样本效果要优于前面的FGSM和JSMA方法,但是这三者都需要比较大的计算资源。 根据样本xxx,标签 k^(x)\hat{k}(x)k^(x): 可以称Δ(x,k^)\Delta (x,\hat{k})Δ(x,k^)为k^\hat{k}k^在点xxx上的鲁棒性。
阅读笔记 DeepFool: a simple and accurate method to fool deep neural networks
weixin_39929275的博客
09-01 631
阅读笔记 DeepFool: a simple and accurate method to fool deep neural networksAbstractIntroductionDeepFool for binary classifiersDeepFool for multiclass classifiersAffine multiclass classifierGeneral classifierExtension to lpl_plp​ norm Abstract 提出Deep Fool 算法
DeepFool算法.rar
08-19
算法是经典的对抗样本算法,参考论文为《DeepFool: a simple and accurate method to fool deep neural networks》,基于pytorch框架实现,已调试完毕,可直接运行。
DeepFool对抗算法
08-28
DeepFool对抗算法实现代码,需先下载cleverhans集成库,或是我资源中的FGSM算法也可以。
论文阅读 (54):DeepFool: A Simple and Accurate Method to Fool Deep Neural Networks
因吉的博客
06-07 674
深度神经网络在图像分类任务上的成就毋庸置疑。然而,这些架构已被证明对图像的小扰动缺乏健壮性,目前也缺乏有效的方法来准确计算深度分类器应对大规模数据集上扰动的鲁棒性。本文则对这些鲁棒性进行可靠量化。.........
CVPR2016 | DeepFool | DeepFool:一种简单而准确的欺骗深度神经网络的方法
最新发布
四口鲸鱼爱吃盐的博客
03-07 875
本文 “DeepFool: a simple and accurate method to fool deep neural networks” 提出 DeepFool 算法,用于高效计算能欺骗深度神经网络的扰动,量化分类器的鲁棒性。实验表明,该算法在计算对抗扰动和提升分类器鲁棒性方面优于现有方法。
DeepFool论文翻译---DeepFool: a simple and accurate method to fool deep neural networks
哈哈哈哈哈哈
10-11 1288
最先进的深度神经网络在许多图像分类任务中取得了令人印象深刻的结果。然而,这些相同的架构已经被证明对于较小的、广受欢迎的图像扰动是不稳定的。尽管这一现象很重要,但还没有提出有效的方法来准确计算最先进的深度分类器对大规模数据集上此类扰动的鲁棒性。本文中,我们填补了这一空白,并提出了DeepFool算法,以有效计算欺骗深度网络的扰动,从而可靠地量化这些分类器的鲁棒性。大量实验结果表明,我们的方法在计算对抗扰动和使分类器更健壮的任务上优于最近的方法。
Deepfool阅读笔记
weixin_49171105的博客
07-27 710
DeepFool算法,用于计算欺骗最新分类器的对抗样本。它基于分类器的迭代线性化,以生成足以更改分类标签的最小扰动。
对抗样本生成算法DeepFool算法
ilalaaa的博客
05-17 3954
目录背景原理 论文链接点击获取. 背景 原理
DeepFool论文阅读
yty_311的博客
01-05 725
英文不大好,论文翻译这类博客都是机器翻译用来自己阅读的,大家有兴趣的随便看看就好 DeepFool:一种简单而准确的愚弄深度神经网络的方法 摘要 最先进的深度神经网络已经在许多图像分类任务中取得了令人印象深刻的结果。然而,这些相同的架构已经被证明是不稳定的小,良好的寻找,图像的扰动。尽管这一现象很重要,但还没有提出有效的方法来精确计算最先进的深度分类器对大规模数据集上这种扰动的鲁棒性。在本文中,我们填补了这一空白,并提出了深度愚人算法来有效地计算愚弄深度网络的扰动,从而可靠地量化这些分类器的鲁棒...
DeepFool对抗算法_学习笔记
Erpim的博客
07-19 1万+
前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,方便之后回顾。过程中可能引用其他大牛的博客,文末会给出相应链接,侵删! DeepFool算法 特点:白盒攻击、 论文原文:DeepFool: a simple and accurate method to fool deep neural networks 正文...
deepfool公式推导
12-28
### DeepFool算法公式详细推导过程及原理 #### 一、DeepFool基本概念 DeepFool是一种迭代方法,用于寻找最小的扰动使得输入样本被错误分类。其核心在于通过线性化决策边界来估计最接近当前类别的其他类别之间的距离。 对于给定的一个初始图像\(x\)属于真实标签\(y\),目标是最小化添加到此图像上的噪声大小,使网络将其预测为另一个不同的类别\[ \min_{r} \| r \|_2 : f(x+r) ≠ y \][^1] #### 二、多分类情况下的DeepFool实现 考虑一个多分类问题,假设存在C个可能的目标类别,则可以构建一个超平面方程组表示各个类间的分隔面: \[ w_i·x+b_i=0,\quad i∈{1,...,C}\] 这里\(w_i\)代表第i个类对应的权重向量而bi则是偏置项。当面对非线性的神经网路时,这些参数来自于softmax层之前的激活值。 为了简化计算,通常会采用局部近似的方式处理复杂的非线性映射关系。具体来说就是把每一个类视作是由前一层特征空间里的加权求和所形成的简单仿射变换结果。因此,在每一步迭代过程中都可以得到一组新的\(W=[w_1;... ;w_C]\),以及相应的b向量[b1;…;bc]。 此时,如果要找到离原始点最近的那个误分类区域的话,就需要解下面这个优化问题: \[ min ||δ||_p s.t.\space sign(f(x))≠sign(f(x+δ)), p≥1\] 即寻找能够改变模型输出符号所需的最小范数扰动δ。由于直接解决上述约束条件较为困难,所以转而去寻求满足下述不等式的最小正实数值ε : \[ (f_j(x)-f_k(x))^T δ ≥ ε , j,k ∈ {1,…, C},j≠k\] 这实际上意味着我们要找的是那个能使任意两个不同类别得分差变得尽可能大的方向。进一步地,考虑到实际情况中我们更关心L2范数形式下的最优解,于是乎就得到了最终版本的DeepFool更新规则: \[ δ^{(t)}=\frac{|f_k(x_t)-max_{j≠k}(f_j(x_t))|}{\|\nabla_xf_k(x_t)-∇xf_l(x_t)\|^2 }(\nabla_xf_k(x_t)-∇xf_l(x_t))\] 其中l是指除开最大响应外第二高的分数对应的位置索引号。随着循环次数增加,累加每次产生的微调增量直到成功翻越某个临界阈值为止即可完成整个攻击流程的设计[^2]. ```python def deepfool(image, net): """ Implementation of the DeepFool algorithm. Parameters: image: Input image to be attacked net: Pre-trained neural network model Returns: perturbed_image: Adversarial example generated from input image """ num_classes = 10 # Number of classes in classification task max_iter = 50 # Maximum number of iterations allowed x = Variable(image.clone(), requires_grad=True).cuda() f_image = net.forward(x).data.cpu().numpy().flatten() I = (np.array(f_image)).argsort()[::-1] label = I[0] input_shape = image.size() pert_image = image.clone() r_tot = np.zeros(input_shape) k_i = label for ii in range(max_iter): x = Variable(pert_image.clone(), requires_grad=True).cuda() fs = net.forward(x) fs_list = [fs[0,I[k]] for k in range(num_classes)] _, grads = torch.autograd.grad(fs_list[I], inputs=x,retain_graph=True, create_graph=False) grad_orig = grads.data.cpu().numpy().copy() target_class = None w = np.squeeze(grads.data.cpu().numpy().copy()) f_multiclass = fs.data.cpu().numpy().flatten() I_new = np.argsort(f_multiclass)[::-1] if(I_new[0]!=I[0]): break else: for j in range(len(I)): if(j==0):continue w_k = w[I[j]] dist = abs((f_multiclass[I[j]]-f_multiclass[label]))/np.linalg.norm(w_k-w[I[0]]) if(target_class is None or dist<dist_min): dist_min = dist closest = w_k r_i = (closest - w[I[0]]) * dist_min r_tot += r_i pert_image = image + (1+epsilon)*torch.from_numpy(r_tot).cuda() pert_image =Variable(pert_image,requires_grad=False) return pert_image ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值