研究这个方向的动机,是因为在将神经网络模型应用于实际场景时,它仅仅拥有较高的正确率是不够的,例如在异常检测中、垃圾邮件分类等等场景,那些负类样本也会想尽办法来“欺骗”模型,使模型无法辨别出它为负类。因此我们希望我们的模型能够拥有应对这种攻击的能力。
通过影像辨识的例子来解释如何进行攻击。
假设我们已经训练了一个图像的分类器,对于我们下图中输入的图片它能够分辨出来是一只猫;那么我们现在对原始的输入进行一定的扰动,加入干扰项再输入到模型中看看它是否会辨别成其中的东西(图中这种扰动太大了,一般加入的扰动项是人眼无法辨别的):
那么这种攻击又划分为两类:
这里有一个很神奇的现象,假设我们加入的杂讯比较大,我们人眼能够直接观察得到:
可以发现机器还是大部分能够发现这是一只猫,只不过可能品种不同而已。但如果加入的杂讯是我们特别准备的,并且肉眼看不出来的:
可以看到不仅分类错误了,连信心分数都激增,并且事实上我们可以调整我们的杂讯让机器把这张看起来像一只猫的图片分辨成任何东西,因此这也是我们需要机器能够对抗攻击的原因之一。
那么接下来我们就来认识一下是怎么做到这种攻击的。
对于我们当前拥有的分类器,输入一张猫的图片\(x^0\)它输出为一个向量,是每一个类别的信心分数,其中最高的为猫。
而对于向量之间的差距我们可以用交叉熵来表示,因此得到:
那么对于无目标的攻击,可以设定其损失函数为:
对于有目标的攻击可以设定其损失函数为:
因此优化目标为:
其中\(d(x^0,x)<\varepsilon\)代表我们希望加入的图像和原始的图像比较接近,这样肉眼才看不出来。而这个距离的计算方式下面举两个例子:
那么这两种距离计算方法的区别在于人眼的观感程度,这也许听起来很抽象但可以通过下面的例子解释:
上方和下方的图它们与原始的图的L2-norm距离相同,只不过上方的图距离都分散的每一个像素,下方的图集中在右下角的像素,因此下方的图我们能够明显感受出差别。
而这两张图的L-infinity差距是不同的,第一张图显然比第二张图小。那么为了要让我们人眼无法辨认,我们需要对这个L-infinity进行限制,才可以让我们无法看出来,因此一般是选择L-infinity。
那么下面的问题就是我们如何求解这个优化问题:
对于此问题,跟之前我们训练模型时调整参数是一样的,只不过调整的参数变成了输入而已,同样也可以采用梯度下降来求解,只不过要加上一定的限制而已:
进行梯度更新的时候,我们要时刻检查更新之后其距离是否会超过限制的范围,如果超过了就要及时地将其修正回来。
有一个应用上述思想的简单算法为FGSM,其特点在于:
那么可以看到,这样更新一次是绝对不会超过范围的,因此这样找到的或许是可行的。
在前面介绍的攻击方法中我们需要计算梯度,而计算梯度则要求我们知道该模型内部的参数,因此这一种攻击称为White Box(白箱攻击),这一种攻击对于一些未知模型来说可能是无法进行的。但这不代表着不让别人知道模型参数就是安全的,因为还有Black Bos(黑箱攻击),这一类攻击不需要知道模型内部的参数就可以发动攻击。
对于黑箱攻击来说,一种简单的情况是我们知道这个未知的模型是由哪些训练资料训练出来的,那么我们就可以用一个具有类似网络结构的模型也对这些训练资料进行训练,得到我们自己模型的参数,那么再在这个模型上计算如何攻击,最终将得到的攻击应用到目标模型中就可能会成功,如下图:
那么复杂一点的情况就是我们也不知道训练集,那么可能可行的做法为用一大堆我们自己的资料放进去这个模型,相应会得到一大堆输出,那么将这些输入和输出来作为训练集,就可以类比上面的做法进行训练。
在实际上,黑箱攻击和白箱攻击都是很容易成功的,并且在一个模型上攻击成功的x,用在另外的模型上也非常容易攻击成功,那么这就让人有了研究的空间,但目前仍然没有明确的答案,值得让人信服的解释是实际上攻击是否成功主要取决于你的训练资料而不是取决于你的模型,相同的训练资料所训练出来的不同模型在被攻击时很可能呈现相同的结果,也就是说攻击可以认为是“具有特征性的”,也许你得到的这个攻击向量看起来真的很像是杂讯, 但这可能就是机器从训练资料中学习到的特征。
这里补充一个小知识点,因为我们之前说到的攻击都说客制化的,即对于每一张图片单独计算它的攻击向量,那么假设影响场景为某个摄像头,我们想要让这个摄像头对于输入都辨认错误的话则要对每张图片都计算,那么运算量很大;那么有没有可能能够有一个通用的攻击向量,如果将它加入摄像头摄取的每一个图片的时候,都能够使该图片被辨认错误,那么这样的攻击称为Universal Adversarial Attack。这种是可能可以做到的。
这一个类别的攻击在于直接攻击模型,它像是寄生虫一样寄生于别的模型之上,然后让其他已经训练好的模型来做我们想做的任务
这种开后门的方法是在训练阶段就已经攻击了,例如在训练阶段加入特定的图片,让训练完成后的模型看到某一张特定图片的鱼是会分辨成狗。但是这种训练要保证我们加进去的特殊图片它是人眼无法检查出来的,不能说加入一大堆鱼的图片然后标准改成狗,这是不行的。
前面都是在讲如何进行攻击,那么接下来进行介绍我们如何进行防御
这类防御,训练完模型之后就不改变模型,而是在将样本输入到模型之前,增加一个filter环节,如下:
那么这个Filter的作用可以认为是削减这个攻击信号的威力,使我们的模型仍然能够正常的进行辨认。那么这个Filter也不一定特别复杂,有时候例如进行模糊化就可以达到我们想要的效果,但要注意模糊化也有负作用,就是让机器的信心分数降低:
类似于这种方法还有很多,例如将影像进行压缩和解压缩,可能就可以让攻击信号失去威力,或者通过AE自编码器来重新生成,也可能可以过滤掉杂讯等等。而这种被动防御一般来说如果被攻击方明确你采用的防御方法,那么就非常容易被破解。
那么可能的改进是加入随机化,即在对图像处理处理的时候随机选择可选的处理策略,不过还是得保护住你随机的分布才可以保持防御的有效性。
这种思想是在训练时就训练一个不容易被攻击的模型。具体的做法是我们自己创造攻击类型的向量来进行攻击训练,即对原始的样本修改为攻击的样本,不过我们要加上它原来正确的标签,将这些作为训练资料来对模型进行训练。
但这个问题主要是能够抵挡你训练过的那些攻击的方法,对于未见过的攻击算法很可能挡不住。
这似乎非常适得其反,因为太多的gem会在window上破裂。我一直在处理很多mysql和ruby-mysqlgem问题(gem本身发生段错误,一个名为UnixSocket的类显然在Windows机器上不能正常工作,等等)。我只是在浪费时间吗?我应该转向不同的脚本语言吗? 最佳答案 我在Windows上使用Ruby的经验很少,但是当我开始使用Ruby时,我是在Windows上,我的总体印象是它不是Windows原生系统。因此,在主要使用Windows多年之后,开始使用Ruby促使我切换回原来的系统Unix,这次是Linux。Rub
目录前言滤波电路科普主要分类实际情况单位的概念常用评价参数函数型滤波器简单分析滤波电路构成低通滤波器RC低通滤波器RL低通滤波器高通滤波器RC高通滤波器RL高通滤波器部分摘自《LC滤波器设计与制作》,侵权删。前言最近需要学习放大电路和滤波电路,但是由于只在之前做音乐频谱分析仪的时候简单了解过一点点运放,所以也是相当从零开始学习了。滤波电路科普主要分类滤波器:主要是从不同频率的成分中提取出特定频率的信号。有源滤波器:由RC元件与运算放大器组成的滤波器。可滤除某一次或多次谐波,最普通易于采用的无源滤波器结构是将电感与电容串联,可对主要次谐波(3、5、7)构成低阻抗旁路。无源滤波器:无源滤波器,又称
最近在学习CAN,记录一下,也供大家参考交流。推荐几个我觉得很好的CAN学习,本文也是在看了他们的好文之后做的笔记首先是瑞萨的CAN入门,真的通透;秀!靠这篇我竟然2天理解了CAN协议!实战STM32F4CAN!原文链接:https://blog.csdn.net/XiaoXiaoPengBo/article/details/116206252CAN详解(小白教程)原文链接:https://blog.csdn.net/xwwwj/article/details/105372234一篇易懂的CAN通讯协议指南1一篇易懂的CAN通讯协议指南1-知乎(zhihu.com)视频推荐CAN总线个人知识总
深度学习部署:Windows安装pycocotools报错解决方法1.pycocotools库的简介2.pycocotools安装的坑3.解决办法更多Ai资讯:公主号AiCharm本系列是作者在跑一些深度学习实例时,遇到的各种各样的问题及解决办法,希望能够帮助到大家。ERROR:Commanderroredoutwithexitstatus1:'D:\Anaconda3\python.exe'-u-c'importsys,setuptools,tokenize;sys.argv[0]='"'"'C:\\Users\\46653\\AppData\\Local\\Temp\\pip-instal
require"socket"server="irc.rizon.net"port="6667"nick="RubyIRCBot"channel="#0x40"s=TCPSocket.open(server,port)s.print("USERTesting",0)s.print("NICK#{nick}",0)s.print("JOIN#{channel}",0)这个IRC机器人没有连接到IRC服务器,我做错了什么? 最佳答案 失败并显示此消息::irc.shakeababy.net461*USER:Notenoughparame
我完全不是程序员,正在学习使用Ruby和Rails框架进行编程。我目前正在使用Ruby1.8.7和Rails3.0.3,但我想知道我是否应该升级到Ruby1.9,因为我真的没有任何升级的“遗留”成本。缺点是什么?我是否会遇到与普通gem的兼容性问题,或者甚至其他我不太了解甚至无法预料的问题? 最佳答案 你应该升级。不要坚持从1.8.7开始。如果您发现不支持1.9.2的gem,请避免使用它们(因为它们很可能不被维护)。如果您对gem是否兼容1.9.2有任何疑问,您可以在以下位置查看:http://www.railsplugins.or
如何学习ruby的正则表达式?(对于假人) 最佳答案 http://www.rubular.com/在Ruby中使用正则表达式时是一个很棒的工具,因为它可以立即将结果可视化。 关于ruby-我如何学习ruby的正则表达式?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/1881231/
深度学习12.CNN经典网络VGG16一、简介1.VGG来源2.VGG分类3.不同模型的参数数量4.3x3卷积核的好处5.关于学习率调度6.批归一化二、VGG16层分析1.层划分2.参数展开过程图解3.参数传递示例4.VGG16各层参数数量三、代码分析1.VGG16模型定义2.训练3.测试一、简介1.VGG来源VGG(VisualGeometryGroup)是一个视觉几何组在2014年提出的深度卷积神经网络架构。VGG在2014年ImageNet图像分类竞赛亚军,定位竞赛冠军;VGG网络采用连续的小卷积核(3x3)和池化层构建深度神经网络,网络深度可以达到16层或19层,其中VGG16和VGG
文章目录1、自相关函数ACF2、偏自相关函数PACF3、ARIMA(p,d,q)的阶数判断4、代码实现1、引入所需依赖2、数据读取与处理3、一阶差分与绘图4、ACF5、PACF1、自相关函数ACF自相关函数反映了同一序列在不同时序的取值之间的相关性。公式:ACF(k)=ρk=Cov(yt,yt−k)Var(yt)ACF(k)=\rho_{k}=\frac{Cov(y_{t},y_{t-k})}{Var(y_{t})}ACF(k)=ρk=Var(yt)Cov(yt,yt−k)其中分子用于求协方差矩阵,分母用于计算样本方差。求出的ACF值为[-1,1]。但对于一个平稳的AR模型,求出其滞
目录0专栏介绍1平面2R机器人概述2运动学建模2.1正运动学模型2.2逆运动学模型2.3机器人运动学仿真3动力学建模3.1计算动能3.2势能计算与动力学方程3.3动力学仿真0专栏介绍?附C++/Python/Matlab全套代码?课程设计、毕业设计、创新竞赛必备!详细介绍全局规划(图搜索、采样法、智能算法等);局部规划(DWA、APF等);曲线优化(贝塞尔曲线、B样条曲线等)。?详情:图解自动驾驶中的运动规划(MotionPlanning),附几十种规划算法1平面2R机器人概述如图1所示为本文的研究本体——平面2R机器人。对参数进行如下定义:机器人广义坐标
