精华内容
下载资源
问答
  • DeepFool对抗算法

    2018-08-28 14:38:01
    DeepFool对抗算法实现代码,需先下载cleverhans集成库,或是我资源中的FGSM算法也可以。
  • matlab开发-多目标电子对抗算法。求解多目标优化问题的水循环算法
  • 图像对抗算法(先导篇)

    千次阅读 2019-05-31 22:21:38
    什么是图像对抗算法?图像对抗算法是最近几年比较活跃的研究方向,目前主要的研究集中在图像分类和目标检测领域中,因为在图像分类中的研究比较成熟,因此接下来主要以图像分类为例介绍图像对抗算法。 攻击和防御 ...

    什么是图像对抗算法?图像对抗算法是最近几年比较活跃的研究方向,目前主要的研究集中在图像分类和目标检测领域中,因为在图像分类中的研究比较成熟,因此接下来主要以图像分类为例介绍图像对抗算法。

    攻击和防御

    图像对抗算法主要包含攻击和防御2部分内容。
    攻击表示通过一定的算法在原输入图像上加入攻击噪声得到攻击图像,这个攻击图像能够扰乱分类器的分类,使其分类结果出错。这里面涉及到的最重要内容是攻击图像从人类肉眼看来和原输入图像基本没有区别,这样的攻击才是有意义的,比如下面这幅图的左边是原输入图像,中间是攻击噪声,右边是得到的攻击图像,从肉眼看右边的图像也是一只熊猫,但是分类器却将其误分类成长臂猿。因此攻击任务的难点在于攻击成功率和扰动之间的平衡,一般而言,扰动越大,攻击成功率越高,反之亦然。
    在这里插入图片描述
    防御表示构建足够鲁棒的分类器(防御模型),使其在输入攻击图像时也能够分类正确。防御模型的做法主要有2种,一种是训练更加鲁棒的分类器,这是从分类器本身出发做防御,另一种是对输入的攻击图像做一定的预处理后再传给分类器,目的是尽可能减少攻击噪声。

    黑盒攻击和白盒攻击

    在攻击算法中涉及到2个概念:黑盒攻击和白盒攻击。
    黑盒攻击是指攻击者不知道防御模型的网络结构和参数,在此基础上生成攻击图像进行攻击称之为黑盒攻击。黑盒攻击在现实生活中更常见,因为在很多情况下攻击者并不知道防守模型的内容,因此黑盒攻击更具研究意义,而黑盒攻击的难点在于迁移性,迁移性好的攻击算法能够攻击成功多种防御模型。
    白盒攻击是指攻击者能够拿到防御模型,也就是知道防御模型的网络结构和参数,在此基础上生成攻击图像进行攻击称之为白盒攻击(知己知彼)。白盒攻击的成功率可以做到很高,在此基础上只要不断减少扰动,那么就能得到非常棒的攻击效果。这有点像深度学习模型训练可以过拟合训练数据,那么在训练数据上的指标当然可以非常漂亮,但是换一批数据可能效果就下降很明显,因此一般白盒攻击的成功率都要远高于黑盒攻击。
    除此之外,还有一种攻击称之为灰盒攻击,主要指知道防守模型采用的是什么网络结构,但是不知道网络参数,在这种情况下生成攻击图像进行攻击称之为灰盒攻击,一般而言这种攻击算法的成功率介于黑盒攻击和白盒攻击之间。

    有目标攻击和无目标攻击

    攻击算法主要分为有目标攻击和无目标攻击。
    有目标攻击是指防御模型将攻击图像分类成目标类别则算攻击成功。一般而言有目标攻击中的目标类别可以指定成防御模型在输入原图像时分类概率最低的那个类别,这种情况是有目标攻击中最难的,相当于攻击图像要欺骗分类模型将其分为原本最不可能分的那个类别。当然, 目标类别还可以指定成防御模型在输入原图像时分类概率仅次于正确类别概率的类别,这种情况是有目标攻击中最简单的。最后,目标类别还可以随机指定,此时难度介于前面二者之间。有目标攻击更加考验模型的迁移能力,至少从目前的研究来看,在有目标攻击的迁移性方面还没有大的突破。
    无目标攻击是指防御模型将攻击图像分类成除正确类别以外的其他任何一个类别都算攻击成功。换句话说只要模型分类错误,那么就是无目标攻击成功了。可以看到,其实有目标攻击也是无目标攻击中的一种特例,只不过难度更大,因为一般无目标攻击算法都具备一定的迁移性,而有目标攻击在迁移性方面面临较大挑战。

    评价指标

    前面我们提到攻击任务的难点是攻击成功率和扰动之间的平衡,因此这就涉及到攻击算法(主要指的就是扰动)的评价指标,这是攻击算法中非常重要的内容。
    目前攻击算法的评价指标主要采用Lp距离(一般也称为Lp范数),公式如下,其中vi表示像素点i的像素值修改幅值,n表示像素点个数,v一般通过攻击图像减原图像得到,表示两张图的差值,也就是扰动。
    在这里插入图片描述
    目前常用的Lp距离包括L0、L2和L∞
    L0距离计算的是攻击图像和原图像之间差异像素的数量,也就是原图像中被修改的像素点数量,因为L0范数本身代表的意思也是非零元素的个数,而对于扰动而言,非零则表示该像素点被修改了。可以看到这种评价指标并未涉及扰动的幅度,而是从扰动数量层面做评价。
    L2距离计算的是攻击图像和原图像之间差异像素值的欧式距离。
    L∞距离计算的是攻击图像和原图像的差异像素值中绝对值最大的值,相当于只在乎扰动幅度最大的值是多少,因此只要像素值的修改幅值在这个限定值之内,那么都是有效的,这是目前攻击领域论文常用的评价指标,且常见的L∞值一般设定为16。

    展开全文
  • 本资源是基于FGSM改进的I-FGSM算法和ICCLM算法,pytorch版本,jupyter文件,可以直接运行。
  • 最近在参加IJCAI-19阿里巴巴人工智能对抗算法竞赛(点击了解),初赛刚刚结束,防御第23名,目标攻击和无目标攻击出了点小问题,成绩不太好都是50多名,由于找不到队友,只好一个人跟一群大佬PK,双拳难敌四手,差点...

    最近在参加IJCAI-19阿里巴巴人工智能对抗算法竞赛(点击了解),初赛刚刚结束,防御第23名,目标攻击和无目标攻击出了点小问题,成绩不太好都是50多名,由于找不到队友,只好一个人跟一群大佬PK,双拳难敌四手,差点自闭放弃比赛了。由于知道对抗攻击的人很少,于是抽空写篇博客,简单科普一下人工智能与信息安全的交叉前沿研究领域:深度学习攻防对抗。

    然后简单介绍一下IJCAI-19 阿里巴巴人工智能对抗算法竞赛

    目前,人脸识别、自动驾驶、刷脸支付、抓捕逃犯、美颜直播……人工智能与实体经济深度结合,彻底改变了我们的生活。神经网络和深度学习貌似强大无比,值得信赖。

    但是神经网络也有它的缺陷,只要略施小计就能使最先进的深度学习模型指鹿为马,例如:通过细微地改动图片,就可以使神经网络识别出错。

     深度学习攻防对抗的历史:

    早在2015年,“生成对抗神经网络GAN之父”Ian Goodfellow在ICLR会议上展示了攻击神经网络欺骗成功的案例,在原版大熊猫图片中加入肉眼难以发现的干扰,生成对抗样本。就可以让Google训练的神经网络误认为它99.3%是长臂猿。

    2017NIPS对抗样本攻防竞赛案例:阿尔卑斯山图片篡改后被神经网络误判为狗、河豚被误判为螃蟹。对抗样本不仅仅对图片和神经网络适用,对支持向量机、决策树等算法也同样有效。

    在2018年,Ian Goodfellow在一篇论文中提出了首个可以欺骗人类的对抗样本。下图左图为猫咪原图,经过对抗样本干扰之后生成右图,对于右图,神经网络和人眼都认为是狗。不仅欺骗了神经网络,还能欺骗人眼。

    这就是对机器学习模型的逃逸攻击,它能绕过深度学习的判别并生成欺骗结果。攻击者在原图上构造的修改被称为“对抗样本”。神经网络对抗样本生成与攻防是一个非常有趣且有前景的研究方向。

    黑盒攻击与白盒攻击:

    白盒攻击是在已经获取机器学习模型内部的所有信息和参数上进行攻击,令损失函数最大,直接计算得到对抗样本;黑盒攻击则是在神经网络结构为黑箱时,仅通过模型的输入和输出,逆推生成对抗样本。

    攻击方法:

    FGSM(Fast Gradient Sign Method):

      Ian Goodfellow等人在年2014提出了一种生成对抗性例子的简单方法FGSM

      

     

      与L- BFGS等复杂方法相比,该方法简单,计算效率高,但通常成功率较低。采用FGSM的方法,可使ImageNet模型识别错误率大约63%−69%。

    I-FGSM(Iterative Fast Gradient Sign Method):

      FGSM方法的一种扩展,通过简单的多步迭代FGSM,找到损失函数最大值,每一步迭代的步长会相应减小。

      

     

    攻击方:

      通过生成更具迷惑性的对抗样本,使现有的深度学习模型识别出错。

    防御方:

      训练更具鲁棒性的模型,使模型练就一双“火眼金睛”,正确识别对抗样本。

    对抗训练:

      在训练模型的时候就加上对抗样本,相当于让深度学习模型在做一份考试真题,等真正上战场的时候,碰到对抗样本也无所畏惧。

    IJCAI-19 阿里巴巴人工智能对抗算法竞赛

      比赛主要针对图像分类任务,包括模型攻击与模型防御。采用电商场景的图片识别任务进行攻防对抗。总共会公开110,000左右的商品图片,来自110个商品类目,每个类目大概1000个图片。

    本次比赛包括以下三个任务:

    • 无目标攻击: 生成对抗样本,使模型识别错误。
    • 目标攻击: 生成对抗样本,使模型识别到指定的错误类别。
    • 模型防御: 构建能够正确识别对抗样本的模型。

    比赛为三组选手互相进行攻防,参赛选手既可以作为攻击方,对图片进行轻微扰动生成对抗样本,使模型识别错误;也可以作为防御方,通过构建一个更加鲁棒的模型,准确识别对抗样本。

    关于比赛更多细节暂时不宜公开,比赛仍在进行中。。。

    (待比赛结束后更新)

    转载于:https://www.cnblogs.com/siyuxu/p/10809786.html

    展开全文
  • loonggg读完需要3分钟速读仅需 1 分钟今天在知乎上看到这么一个问题:普通人如何对抗算法,从而避免信息茧房?这个问题其实,还是挺有意思的。在聊这个问题之前,我们先看一下信息茧房这个...

    loonggg

    读完需要

    3

    分钟

    速读仅需 1 分钟

    今天在知乎上看到这么一个问题:

    普通人如何对抗算法,从而避免信息茧房?

    这个问题其实,还是挺有意思的。

    在聊这个问题之前,我们先看一下信息茧房这个概念:

    信息茧房概念是由哈佛大学法学院教授、奥巴马总统的法律顾问凯斯・桑斯坦在其 2006 年出版的著作《信息乌托邦 —— 众人如何生产知识》中提出的。通过对互联网的考察,桑斯坦指出,在信息传播中,因公众自身的信息需求并非全方位的,公众只注意自己选择的东西和使自己愉悦的通讯领域,久而久之,会将自身桎梏于像蚕茧一般的 “茧房” 中。

    好,我们既然了解了这个概念,那么我们再来回答一下这个问题。

    我们来回顾一下,假如我们将时间拨回到 8 年前,还没有诞生今日头条的时候,回到还不是算法主导的世界。

    那时候比较火的新闻客户端好像还是网易新闻或者是搜狐新闻客户端。那时候,如果没有算法主导,你打开新闻看的时候,是不是也挑一些自己喜欢看的内容呢?自己不喜欢不关心的新闻,你也不会点击进去看吧?

    有的人喜欢看娱乐新闻,就点击去娱乐新闻板块,有的人喜欢军事就去看军事板块,有的人喜欢看时政就去看时政板块。人们本质上还是会选择自己喜欢看的内容去看。

    自己不喜欢看的内容依旧自己也不会去看。

    难道你是打开新闻客户端每一条都会点击吗?不是。

    所以,导致自己信息茧房的或许并不是算法,算法也不影响背这个锅。从本质上讲,信息茧房的形成还是因为自己的选择取向,自己的兴趣爱好导致的。

    算法根据你的喜好给你推荐你自己喜欢的内容,让你沉沦在里面不能自拔是夺去了你的时间和注意力,我只能说这样最大的危害就是浪费了你很有可以用的时间。

    毕竟在这个时代,各个厂商之间已经由从用户流量之间的竞争转换到争夺用户时间的战场。而算法根据每个用户的喜欢来推荐就是投其所好,争夺用户时间的最佳利器和手段。

    没有算法的存在,人们依旧是喜欢沉浸在自己的世界里,喜欢生活在自己织就的信息茧房里。而算法只是让你在里面过得更久了,也就无形中放大了所谓的信息茧房。

    算法放大信息茧房的方式无非就是两种:

    1. 提高了你获取感兴趣信息的效率;

    2. 让你沉迷时间更久了。

    所以,你看,提高了你获取信息的效率,让你沉迷的更久了,这里的关键点就是:时间当中注意力的分配问题。我们不应该把责任推荐给算法,问题其实还在自己。

    所以,如何才能避免信息茧房,只有我们深刻的认识到自己的成长是由自己决定的,时间对于所有人来讲都是一天 24 小时,每个人都是公平的,而我们能够控制的不是时间,而是自己的注意力,也就是专注力。

    我们不会让时间变长,我们可以做到一天 24 小时如何分配进行工作和学习,而不是沉浸在信息茧房之中。所以,人生最宝贵的财富是注意力。

    那我们要想避免信息茧房,不是对抗算法,而是对抗自己的人性,惰性。

    我们可以少使用软件,多去读书,每天给自己安排一些读书的时间;

    我们可以少使用软件,多去参加社会活动,每天给自己安排一些时间去社交,去参加业界的沙龙活动;

    我们可以少使用软件,节约时间多做一些反思,反思自己目前存在的问题,反思自己的喜好是否影响了自己的成长,多关注自己不喜欢的东西,或许就是你的成长所在。

    算法本身是没有罪的,技术本身也没有罪,罪的还是自己的人性。

    最后,强烈建议大家关注一下我的视频号,里面常常会有干货或者分享我自己的一些经验的。扫面下方二维码,直接关注我的视频号

    最后,对话框回复关键字:“社群”,可以加入我新建的一个优质社群,进入「突破圈层,个体崛起」星球,成为我们超体中的一员,欢迎你来加入,让我们一起共同成长。

    亦或者关于社群的具体内容和详细信息,大家可以参考这篇文章:

    点击下方图片即可阅读

    突破圈层,个体崛起:在不确定的时代,确定的生活

    展开全文
  • 图像对抗算法-攻击篇(FGSM)

    万次阅读 多人点赞 2019-05-31 22:27:46
    论文:Explaining and ...在图像攻击算法中,FGSM(fast gradient sign method)是非常经典的一个算法。这篇发表于ICLR2015的文章通过梯度来生成攻击噪声,核心思想就是Figure1所示的内容。Figure1中左边图是常规的...

    论文:Explaining and Harnessing Adversarial Examples
    论文链接:https://arxiv.org/abs/1412.6572

    在图像攻击算法中,FGSM(fast gradient sign method)是非常经典的一个算法。这篇发表于ICLR2015的文章通过梯度来生成攻击噪声,核心思想就是Figure1所示的内容。Figure1中左边图是常规的图像,一般的分类模型都会将其分类为熊猫(panda),但是通过添加由网络梯度生成的攻击噪声后,得到右边的攻击图像,虽然看起来还是熊猫,但是模型却将其分类为长臂猿(gibbon)。
    在这里插入图片描述
    那么FGSM的攻击噪声是怎么生成的呢?我们知道训练分类模型时,网络基于输入图像学习特征,然后经过softmax层得到分类概率,接着损失函数基于分类概率和真实标签计算损失值,回传损失值并计算梯度(也就是梯度反向传播),最后网络参数基于计算得到的梯度进行更新,网络参数的更新目的是使损失值越来越小,这样模型分类正确的概率也就越来越高。
    图像攻击的目的是不修改分类网络的参数,而是通过修改输入图像的像素值使得修改后的图像能够扰乱分类网络的分类,那么结合刚刚讲的分类模型的训练过程,这里可以将损失值回传到输入图像并计算梯度,也就是下面这个值,其中J()是损失函数,x和y表示输入图像和真是标签,θ表示网络参数:
    在这里插入图片描述
    接下来可以通过sign()函数计算梯度的方向,sign()函数是用来求数值符号的函数,比如对于大于0的输入,输出为1, 对于小于0的输入,输出为-1,对于等于0的输入,输出为0。之所以采用梯度方向而不是采用梯度值是为了控制扰动的L∞距离,这是FGSM算法的评价指标
    在这里插入图片描述
    常规的分类模型训练在更新参数时都是将参数减去计算得到的梯度,这样就能使得损失值越来越小,从而模型预测对的概率越来越大。既然无目标攻击是希望模型将输入图像错分类成正确类别以外的其他任何一个类别都算攻击成功,那么只需要损失值越来越大就可以达到这个目标,也就是模型预测的概率中对应于真实标签的概率越小越好,这和原来的参数更新目的正好相反。因此我只需要在输入图像中加上计算得到的梯度方向,这样修改后的图像经过分类网络时的损失值就比修改前的图像经过分类网络时的损失值要大,换句话说,模型预测对的概率变小了。这就是FGSM算法的内容,一方面是基于输入图像计算梯度,另一方面更新输入图像时是加上梯度,而不是减去梯度,这和常见的分类模型更新参数正好背道而驰。
    前面我们提到之所以采用梯度方向而不是采用梯度值是为了控制扰动的L∞距离,这只是其中的一部分。在Figure1中,梯度方向前一般会有一个权重参数e,这个权重参数可以用来控制攻击噪声的幅值,参数值越大,攻击强度也越大,肉眼也更容易观察到攻击噪声(因为输入图像归一化成0到1,所以图中e值只有0.07,换算成0到255的话差不多18个像素值),因此最终的攻击噪声就如下所示。因为FGSM算法的攻击噪声幅值评价指标是L∞,因此权重参数e和梯度方向就可以控制每个像素的最大变化值。

    在这里插入图片描述
    FGSM算法简单有效,在图像攻击领域扮演着非常重要的角色,后续的许多研究也都基于这个算法开展,比如为了提高攻击成功率而推出的迭代版FGSM,下一篇博客将介绍迭代版FGSM

    展开全文
  • DeepFool对抗算法_学习笔记

    万次阅读 2018-07-19 11:06:57
    前言 本篇博客出于学习交流目的,主要是用来记录自己学习中遇到的问题和心路历程,...DeepFool算法 特点:白盒攻击、 论文原文:DeepFool: a simple and accurate method to fool deep neural networks 正文...
  • 图像对抗算法-攻击篇(I-FGSM)

    万次阅读 多人点赞 2019-05-31 22:33:02
    在上面一篇博客中,我介绍了FGSM算法,FGSM算法从梯度的角度做攻击,速度比较快,这是该算法比较创新的地方。但是FGSM算法只涉及单次梯度更新,有时候单次更新并不足以攻击成功,因此,在此基础上推出迭代式的FGSM,...
  • 关注:决策智能与机器学习,深耕AI脱水干货作者:Abhishek Suran转载请联系作者提要:PPO强化学习算法解析及其TensorFlow 2.x实现过程(含代码)在本文中,我们将尝...
  • ![图片说明](https://img-ask.csdn.net/upload/201710/15/1508045375_933214.png) 如图,叶子节点(圈圈表示的)里的分数是怎么来的? 是这一步应该有的分数还是往上父节点到顶累加出来的?
  • 分享一篇来自 IJCAI 2021 的论文:Adv-Makeup: A New Imperceptible and Transferable Attack on Face Recognition,由腾讯和复旦大学联合出品:人脸黑盒攻击对抗算法:Adv-Makeup。 论文名称:Adv-Makeup: A New ...
  • 针对这一问题,提出了梯度指导噪声添加的对抗训练算法。该算法在训练网络时,根据图像中不同区域的敏感性向其添加自适应噪声,在敏感性较大的区域上添加较大的噪声抑制网络对图像变化的敏感程度,在敏感性较小的区域...
  • 使用tensorflow框架写的生成对抗网络用于图像降噪,降噪效果在测试集上表现非常好,可以参看https://blog.csdn.net/xiaoxifei/article/details/82498705 记载的效果
  • 基于深度强化学习的黑盒对抗攻击算法.pdf
  • 对抗样本生成算法之BIM算法

    千次阅读 2020-05-17 20:18:47
    论文主要内容 提出了BIM攻击算法,即迭代FGSM(I-FGSM)算法 提出ILCM最相似迭代算法(Iterative Least-likely Class Method) 进行实验,验证了在真实物理环境中,通过图像采集得到的对抗样本是否依旧能够使得分类...
  • 对抗样本生成算法之JSMA算法

    千次阅读 2020-05-17 20:19:18
    论文提出的JSMA算法,研究的是输入扰动对输出结果的影响来找到相应的对抗扰动。作者引入了显著图的概念,该概念来自于计算机视觉领域。 显著图:表示不同的输入特征对分类结果的影响程度。若发现某些特征对应分类器...
  • 对抗样本生成算法之FGSM算法

    千次阅读 2020-05-17 20:16:51
    原理 FGSM(Fast Gradient Sign Method)是一种基于梯度生成对抗样本的算法,这是一个单步(one-step)的、非定向(non-targeted)的攻击算法。。其目标是最大化损失函数来获取对抗样本。 深度神经网络的训练,是追求...
  • 多尺度生成式对抗网络图像修复算法_.pdf
  • 五子棋算法对抗

    千次阅读 2013-05-10 23:24:39
    最近正在开发一个五子棋算法对抗网站,原理是用户开发一个动态链接库(Windows下DLL或LINUX下so),提交到网站上然后,然后由系统调用下棋的函数实现五子棋下棋算法对抗。 用户需要包含以下头文件并实现给出的函数...
  • 基于评论文本的动态生成对抗网络推荐算法.pdf
  • 对抗样本生成算法之DeepFool算法

    千次阅读 2020-05-17 20:18:01
    论文主要内容 提出了一种新的计算对抗样本的方法:DeepFool算法 通过实验,验证了DeepFool算法所添加的扰动更小,同时计算对抗样本所消耗的时间也更少 实验也说明了,如果使用不恰当的算法(如FGSM算法)来验证分类...
  • 对抗样本生成算法之C&W算法

    千次阅读 2020-05-17 21:27:01
    目录 论文背景 蒸馏网络 C&W算法原理 论文 2017Oakland-Towards Evaluating the Robustness of Neural Networks. 论文背景 之前有人提出蒸馏网络,说是可以为目标网络模型提供很强的鲁棒性,能够把已出现的攻击的...
  • 基于对抗性学习的协同过滤推荐算法.pdf
  • 为了得到更精确的检索效果, 提出一种新的检索方法, 即采用卷积神经网络提取图像特征, 利用哈希算法与输入二进制噪声变量的生成对抗网络共同学习图像的二进制哈希码, 利用汉明距离对图像进行相似性比较, 最后完成对...
  • 针对传统去雾算法结果中颜色和对比度失真等问题,提出了一种基于多尺度融合和对抗训练的图像去雾算法。采用多尺度特征提取模块从多个不同尺度中提取雾霾相关特征,利用残差密集连接模块实现图像特征的交互,避免了梯度...
  • 基于生成对抗模型的图像修复算法研究-硕士毕业论文
  • 由于最近搞这方面都没咋找到FGSM算法的实现,然后最近在学长的帮助下,用tensorflow实现了一个mnist的对抗样本生成。总共实现了两个版本,FGSM和迭代版本的FGSM。 具体的细节介绍可以看这篇文章: ...
  • ©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、情绪对抗样本生成引言JSMA 是非常著名的对抗攻击,它第首次在对抗攻击中引入了 的度量...
  • 本文提出一种基于生成对抗网络的多视图学习与重构算法,利用已知单一视图,通过生成式方法构建起他视图。为构建多视图通用的表征,提出新型表征学习算法,使得同一实例的任意视图都能映射至相同的表征向量,并保证其...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 35,206
精华内容 14,082
关键字:

对抗算法