论文学习笔记:通用对抗扰动UAP
給定一個state-of-the-art的深度神經網絡分類器,作者的工作展示了通用對抗擾動(UAP)的存在性,并且提出了計算UAP的方法。經驗型的解釋了這種擾動,展示了UAP在不同神經網絡之間的泛華性。UAP的存在揭示了高維決策邊界之間存在重要的幾何相關性。進一步概述了現有自然圖像分類器存在安全漏洞。
UAP
假設圖片x∈Rdx \in \mathbb{R}^dx∈Rd來自分布μ\muμ,注意,這里的μ\muμ分布,代表了大部分的自然圖片,包含較強的多樣性。在這樣的情況下,我們要找到通用對抗擾動 vvv,需要vvv滿足一下兩個條件。
其中,ξ\xiξ表示擾動的幅度,δ\deltaδ表示對分類模型k^\hat{k}k^的愚弄率。
對于來自μ\muμ分布的圖像數據點XXX,作者提出了在數據集上迭代,逐步創建通用對抗擾動vvv的方法,在每次迭代計算中,計算將x+vx + vx+v推動到分類邊界上的最小的Δvi\Delta v_iΔvi?。如上圖2,數據點x1x_1x1?,x2x_2x2?,x3x_3x3?疊加,3個不同的顏色分別表示不同的分類區域R1,R2,R3\mathscr{R_1}, \mathscr{R_2}, \mathscr{R_3}R1?,R2?,R3?。算法不斷計算把當前擾動點xi+vx_i + vxi?+v推送到分類邊界Ri\mathscr{R}_iRi?的最小擾動,其實也就是到決策邊界最小距離(DeepFool),并把這個最小擾動聚合到當前擾動點上。
詳細的講,假如uap vvv沒有在數據點xix_ixi?愚弄到分類器,計算講擾動點xi+vx_i + vxi?+v推送到分類決策邊界的最小擾動Δvi\Delta v_iΔvi?(這里是不是很像deepfool),并將KaTeX parse error: Undefined control sequence: \Delata at position 1: \?D?e?l?a?t?a? ?v_i更新到uap vvv上,注意這里的更新并不是簡單的加和,為了保持∣∣v∣∣p<=ξ||v||_p <= \xi∣∣v∣∣p?<=ξ始終成立,將更新后的普遍擾動進一步投影到半徑為ξ\xiξ并以 0 為中心的 p 球上。以此來提升uap vvv的愚弄效果。
在添加uap得到數據集{x1+v,x2+v,...,xn+v}\{x_1 + v, x_2 + v, ..., x_n + v\}{x1?+v,x2?+v,...,xn?+v},當新生成的數據在分類模型上的”愚弄率“大于閾值1?δ1 - \delta1?δ時,算法終止。事實上,并不需要很大的數據XXX來計算在整個μ\muμ分布上的圖像的uap
值得注意的是,數據集XXX的不同隨機組合,會得到不同滿足所需約束的uap vvv。所以這個方法可以用來生成多組不同的uap。
實驗
作者設計了不同的實驗,Table 1反映了uap在驗證集上的fool rate;Figure 4展示了在不同模型結構上計算的uap;Figure 5訓練數據集X的shuffle生成的不同uap;Table 2 給出了uap的跨模型泛華性。
總結
以上是生活随笔為你收集整理的论文学习笔记:通用对抗扰动UAP的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 极路由系列 刷机方法
- 下一篇: 怎么退出自适应巡航_自适应巡航功能是何方