Universal adversarial perturbations(翻译,侵删)
Universal adversarial perturbations(通用對抗擾動)
原文鏈接 https://www.researchgate.net/publication/309460742_Universal_adversarial_perturbations
摘要
考慮到一個頂尖的深度神經網絡分類器,我們展示了一個通用(圖像不可知)和非常小的擾動向量的存在,它會英氣自然的圖片,以一個很高的置信度被誤分類。我們提出了一個系統的算法來計算通用擾動,來展示頂尖的深度神經網絡對于這類擾動的高度的脆弱性,然而對人眼具有不可察覺性。我們進一步實驗分析了這些通用擾動并且顯示,特別的,他們在神經網絡上泛化的非常的好。通用擾動的存在揭示了分類器高維決策邊界之間的重要幾何相關性。進一步強調了安全威脅,輸入空間上的單一方向,攻擊者可以容易的暴露類攻擊在多數的自然圖片上的分類器1。
1. 介紹
我們能夠找到一個單一的小的圖片擾動,可以在所有的自然圖片上,欺騙一個頂尖的深度神經網絡分類器?我們在這篇文章中顯示了這樣的一個不可察覺的通用擾動向量的存在,這個擾動向量導致了自然的圖片以一個很高的概率被誤分類。特別的,通過添加這樣的一個不可察覺的擾動到自然圖片上,深度神經網絡評估的標簽以很高的置信度被改變了(見圖1)。這個擾動稱為通用,因為他們是圖像不可知。這些擾動的存在是一個問題,當分類器被部署到真實的世界(可能是敵對)的環境,因為他們被暴露給了攻擊者類破壞分類器。實際上,擾動過程涉及到,僅僅添加一個非常小的擾動到所有的自然圖片,并且可以被攻擊則在真實世界的環境中相對直接的實現,然而卻相對困難來檢測,因為這樣的擾動非常的小,并且并沒有顯著的影響數據分布。通用對抗擾動的存在進一步揭示了關于深層神經網絡決策邊界拓撲結構的新見解。我們總結了這篇文章的主要的貢獻,如下:
- 我們顯示了對于頂尖的深度神經網絡,通用圖片不可知的擾動的存在。
- 我們提出了一個算法來尋找這樣的擾動,這個算法在一系列的訓練點上尋找一個通用的擾動,通過累加原子擾動向量進行,發生相繼的數據點到分類器的決策邊界。
- 我們展示了通用擾動有一個顯著的泛化屬性,來自一個相當小的訓練數據點的擾動可以以一個很高的置信度欺騙新的圖片
- 我們展示了這樣的擾動不只是在圖片上通用,也在深度神經網絡上泛化。這樣的擾動因此被稱為通用,同時相對于數據和網絡架構
- 我們解釋和分析了深度神經網絡對于通用擾動的高度脆弱性,通過檢查決策邊界不同部分的幾何相關性。
圖片分類器的魯棒性對于結構化和非結構化擾動,最近吸引了許多的關注。結果深度神經網絡架構在挑戰性的視覺分類基準上的令人印象深刻的表現,這些分類器被證明對于擾動具有高度的脆弱性。在19,這樣的網絡被證明對于小的和經常不可察覺的添加了對抗擾動,具有不穩定性。這種小心構造的擾動,或者通過解決一個優化問題,或者通過單步的梯度上升。產生一個擾動來欺騙一個特定的數據點。這些對抗擾動的一個有趣的特點是他們對于數據點的內在的依賴性:擾動被特別的構造對于每個數據點。結果是,計算一個對于一個新的數據點計算一個對抗擾動需要從頭解決一個數據以來的優化問題。這和這篇文章提到的通用擾動不同,我們尋找一個單個擾動向量來欺騙網絡在大多數的自然圖片。擾動一個新的數據點,之后只需要涉及添加通用擾動到這個圖片上(不需要解決一個優化問題或者梯度計算)。最后,我們強調了我們的通用擾動的概念不同于19所研究的生成對抗擾動,在MNIST任務上計算的擾動哦,被證明可以很好的泛化到其他的模型。確實,我們檢查了通用樣本的存在,對于大多數屬于數據分布的數據點是常見的。
圖1:當添加到一個自然圖片,一個通用擾動的圖片引起圖片被深度神經網絡以很高的置信度被誤分類。左圖:原始自然圖片。標簽在每一個箭頭的頂部顯示。中圖:通用擾動。右圖:擾動圖片。評估標簽在每一個箭頭的頂部顯示。
2. 通用擾動
在這個部分,我們形式化通用擾動的概念,并且提出一個方法來評估這類擾動。設μ\muμ為圖片在Rd\mathbb{R}^dRd上的分布,k^\hat{k}k^為一個分類函數對于每個圖片x∈Rdx \in \mathbb{R}^dx∈Rd等評估標簽k^(x)\hat{k}(x)k^(x).這篇文章的主要關注點在于尋找擾動向量v∈Rdv \in \mathbb{R}^dv∈Rd,來欺騙分類器k^\hat{k}k^,在從μ\muμ抽樣的大多數的所有數據點。也就是,我們虛招一個向量vvv滿足
k^(x+v)≠k^(x)for"most"x~μ\hat{k}(x + v) \neq \hat{k}(x) \, for "most" x \sim \mu k^(x+v)?=k^(x)for"most"x~μ
我們將這樣的一個擾動為通用,因為它表示了一個固定的圖像不可知擾動,可以引起標簽的改變,對于大多數從數據分布μ\muμ中抽樣的圖片。我們在這里關注數據分布μ\muμ表示自然圖片的集合,因此包含一個巨大的可變性。在這個背景下,我們檢查了小的通用擾動(以LpL_pLp?范數p∈[1,∞]p \in [1, \infty]p∈[1,∞]),可以誤分類大多數的圖片。因此,目標是找到vvv滿足下面的兩個約束:
1.∥v∥p≤ξ2.P?x~μ(k^(x+v)≠x^)≥1?δ\begin{aligned} \quad 1.& \|v\|_p \leq \xi \\ \quad 2.& \underset{x \sim \mu}{\operatorname{\mathbb{P}}} (\hat{k}(x + v) \neq \hat{x}) \geq 1 - \delta \end{aligned} 1.2.?∥v∥p?≤ξx~μP?(k^(x+v)?=x^)≥1?δ?
參數ξ\xiξ控制擾動向量vvv的規模,δ\deltaδ量化希望欺騙的比率,對于來自分布μ\muμ抽樣的圖片。
算法. 設X={x1,?,xm}X = \{x_1, \cdots, x_m\}X={x1?,?,xm?}是來自分布μ\muμ抽樣的圖片。我們所提出的算法尋找一個通用擾動μ\muμ,滿足∥v∥p≤ξ\|v\|_p \leq \xi∥v∥p?≤ξ,并且欺騙大多數的在XXX中的數據點,該算法在數據點XXX上進行迭代,逐漸的建立通用擾動,如圖2所示。在每次的迭代中,最小的擾動Δvi\Delta v_iΔvi?,發送當前的擾動點,xi+vx_i + vxi?+v,到分類器的決策邊界,被計算,并且累加到當前的通用擾動實例。更多的細節,提供當前的通用擾動vvv不能欺騙數據點xix_ixi?,我們尋找額外的Δvi\Delta v_iΔvi?具有最小的范數,來允許欺騙數據點xix_ixi?,通過解決如下的優化問題:
Δvi←arg?min?r∥r∥2s.t.k^(xi+v+r)≠xi^(1)\Delta v_i \leftarrow \underset{r}{\operatorname{arg\,min}} \|r\|_2 \, s.t. \hat{k}(x_i + v +r) \neq \hat{x_i} \tag{1} Δvi?←rargmin?∥r∥2?s.t.k^(xi?+v+r)?=xi?^?(1)
圖2:示意圖代表所提出的算法用來計算通用擾動。這這幅圖中,數據點x1,x2,x3x_1, x_2, x_3x1?,x2?,x3?是強加的,分類區域Ri\mathscr{R}_iRi?(例如,常量評估標簽)以不同的顏色顯示。我們的算法通過累加順序最小擾動,將當前的擾動點xi+vx_i + vxi?+v,發送到相應的決策區域外面。
為了確保限制∥v∥p≤ξ\|v\|_p \leq \xi∥v∥p?≤ξ滿足,通用擾動的更新進一步投影到LpL_pLp?,半徑ξ\xiξ,中心點在0.也就是,讓Pp,ξP_{p, \xi}Pp,ξ?為投影操作,定義如下:
Pp,ξ(v)=arg?min?v′∥v?v′∥2subjectto∥v′∥p≤ξP_{p, \xi}(v) = \underset{v^\prime}{\operatorname{arg\,min}} \|v - v^\prime\|_2 \quad subject \, to \, \|v\prime\|_p \leq \xi Pp,ξ?(v)=v′argmin?∥v?v′∥2?subjectto∥v′∥p?≤ξ
然后,我們的更新規則為,v←Pp,ξ(v+Δvi)v \leftarrow P_{p, \xi}(v + \Delta v_i)v←Pp,ξ?(v+Δvi?),幾個傳給數據集XXX,來改善通用擾動的質量。當經驗“欺騙率”在數據集Xv:={x1+v,?,xm+v}X_v := \{x_1 +v, \cdots, x_m + v\}Xv?:={x1?+v,?,xm?+v}超過了目標閾值1?δ1 - \delta1?δ,算法終止。也就是,我們停止我們的算法當:
Err(Xv):=1m∑i=1m1k^(xi+v)≠xi^≥1?δErr(X_v) := \frac{1}{m} \sum_{i = 1}^m 1_{\hat{k}(x_i + v) \neq \hat{xi}} \geq 1 - \delta Err(Xv?):=m1?i=1∑m?1k^(xi?+v)?=xi^?≥1?δ
算法細節在算法1.有趣的事,實踐中,數據點XXX的個數mmm不需要足夠的大來計算一個通用的擾動,對整個分布μ\muμ都有效。特別的,我們設置mmm比訓練點的數據量小(見部分3)
所提出的算法涉及公式1的mmm實例,對于每個類別。雖然優化問題不是凸的,當k^\hat{k}k^不是一個標準的分類器(例如,一個深度神經網絡),幾個有效的估計方法應已經設計來解決這個問題。為了它的有效性,我們使用如下的步驟。值得注意的是,算法1的目標不是尋找一個最小的通用擾動,來欺騙大多數的數據點,來自分布的抽樣,而是尋找一個擾動有充分小的范數。特別的,不同的隨機洗牌對于數據集XXX自然的導致了一個多樣性的通用擾動vvv集合,滿足需要的限制。提出的算法一次可以被利用來生成多個通用擾動對于一個深度神經網絡(見下一個部分,看可視化樣本)
3. 對于深度網絡的通用擾動
我們現在分析了頂尖的深度神經網絡分類器對于通用擾動的魯棒性,使用算法1
在第一個實驗中,我們接觸了評估的通用擾動對于不同的最近的深度神經網絡在ILSVRC 2012驗證集(50000張圖片),并且報告了欺騙比率,也就是圖片標簽被改變的比率,當使用我們的通用擾動擾動的時候。結果報告,p=2p = 2p=2和p=∞p = \inftyp=∞。相應的設置ξ=2000\xi = 2000ξ=2000和ξ=10\xi = 10ξ=10.這些數字值被選擇,為了獲得一個擾動,范數比圖片的范數明顯的小,以至于這個擾動是不可見的,當添加到自然的圖片上2。結果在表1.每一個結果都是在數據集XXX上,用來計算擾動,也在驗證集上(沒有使用在通用擾動的計算過程上)。觀察所有之前的工作,通用擾動獲得了非常高的欺騙率在驗證集上。特別的,用CaffeNet和VGG-F就散的通用擾動欺騙了超過90%的驗證集(對于p=∞p = \inftyp=∞。換句話說,對于驗證集上的任何自然圖片,僅添加我們的通用擾動欺騙了9/10的分類器。結果不僅精是這類架構,我們也可以發現通用擾動引起了VGG,GoogleNet和ResNet分類器在自然的圖片上,以大約80%的邊緣被分類錯誤。這個結果有驚喜的成分,因為他們展示了單個通用擾動向量的存在性,可以引起自燃圖片以很高的概率被分類錯誤,同時對于人類具有不可察覺行。為了驗證后面的申明,我們在圖3顯示了可視化的擾動圖片的樣本,這里GoogLeNet結構被使用。這些圖片或者是來自ILSVRC 2012驗證集上,或者是使用一個移動手機攝像頭拍攝的。可以觀察到在大多數的情況下,通用擾動具有不可察覺行,這個強有力的圖像不可知擾動能夠以很高的置信度誤分類任何的圖片,對于頂尖的分類器。我們參考原始(未受干擾的)圖像的補充材料,以及它們的真實的標簽。我們也參考了視頻,在一個補充材料對于真實世界樣本,在一個智能手機上。在圖4,我們可視化了通用擾動對應于不同的網絡。值得注意的是這類的通用擾動不是獨特的,因為許多的不同的通用擾動(所有滿足兩個要求的約束)對于同樣的網絡可以被生成。在圖5,我們可視化了5個不同的通用擾動,使用不同的隨洗牌的數據集XXX,獲得的。可以觀察到,這類的擾動是不同的,盡管他們展示了相似的模式。此外可以確認,計算正規化的內層的乘積,在兩對擾動圖片,因為正規化的內積不會超過0.1,這個表明了可以找到多樣的通用擾動。
| L2L_2L2? | X | 85.4% | 85.9% | 90.7% | 86.9% | 82.9% | 89.7% |
| Val. | 85.6% | 87.0% | 90.3% | 84.5% | 82.0% | 88.5% | |
| L∞L_\inftyL∞? | X | 93.1% | 93.8% | 78.5% | 77.8% | 80.8% | 85.4% |
| Val. | 93.3% | 93.7% | 78.3% | 77.8% | 78.9% | 84.0% |
表1: 在數據集XXX和驗證集上的欺騙率
圖3: 擾動圖片和他們對應的標簽的樣本。前8張圖片屬于ILSVRC 2012驗證集,后面4張圖片是用一個移動手機攝像頭拍攝的,見補充菜量對于原始的圖片。
圖4: 對于不同的深度神經網絡架構的通用擾動,生成的圖片使用p=∞,ξ=10p = \infty, \, \xi = 10p=∞,ξ=10,為了可視化像素值被縮放了。
圖5: 對于GoogLeNet架構的多樣的通用擾動。這五個擾動使用了一個隨機的洗牌在數據集XXX上。注意,標準化內積對于任何的一對通用擾動不會超過0.1,這強調了這類擾動的多樣性。
上面的通用擾動是在一個數據集XXX上計算的,這個數據集來自10000張訓練集的圖片(例如,平均每類別10張),我們現在檢查數據集XXX大小的影響,對于通用擾動的質量。如圖6所示,在驗證集上獲得的對于不同大小的XXX對于GoogLeNet的欺騙率。注意到,對于包含了只有500張圖片的一個數據集XXX,我們可以在驗證集上欺騙30%的圖片。當與類別的數量在ImageNet(1000)上比較時,結果更加的顯著,它顯示了我們可以欺騙一個大的沒有見過的圖片數據集,甚至當使用每個類別少于一張圖片的數據集XXX.使用算法1計算出的通用擾動,因此有一個顯著的泛化能力在沒有見過的數據點上,可以在一個非常小的訓練圖片的數據集上計算出來。
圖6:每個大小的XXX在驗證集上的欺騙率。注意即使在一個非常小的數據集XXX(相比于訓練集和驗證集)計算出來的擾動,在驗證集上欺騙率是非常大的。
跨模型通用性. 雖然計算出來的通用擾動個對于沒有見過的數據點是通用的,我們現在檢查他們的跨模型通用性。也就是,我們研究了針對一個特殊的架構(例如,VGG-19)計算出來的通用擾動,對于另一個架構(例如:GoogLeNet)的有效程度。表2顯示了一個矩陣總結了這類的擾動在6個不同的架構之間的通用性。對一個每個架構,我們計算了一個通用擾動并且正對所有的其他架構給出了欺騙率,我們在表2報告了這些在行上。可以觀察到,對于一些架構,通用擾動可以非常好的泛化到其他的架構。例如:用VGG-19網絡計算出來的通用擾動在其他所有測試的架構上有一個超過53%的欺騙率。這個結果顯示了我們的通用擾動在某種程度上,雙重通用,應為他們在數據點和非常不同的架構之間的泛化性。值注意的是,在19,對抗擾動之前被展示的泛化的非常的好,在某種程度上,跨不同的神經網絡,在MNIST問題行。然而,我們的結果是不同的,因為我們展示了在ImageNet數據集上的不同的架構的通用擾動的泛化性。結果實現了這類的擾動具有實際意義,因為他們在夸數據點和架構泛化。特別的,為了欺騙一個新的圖片在未知的網絡上,一個簡單的額添加一個通用擾動,在VGG-19上計算出來的,很有可能誤分類數據點。
| VGG-F | 93.7% | 71.8% | 48.4% | 42.1% | 42.1% | 47.4% |
| CaffeNet | 74.0% | 93.3% | 47.7% | 39.9% | 39.9% | 48.0% |
| GoogLeNet | 46.2% | 43.8% | 78.9% | 39.2% | 39.8% | 45.5% |
| VGG-16 | 63.4% | 55.8% | 56.5% | 78.3% | 73.1% | 63.4% |
| VGG-19 | 64.0% | 57.2% | 53.6% | 73.5% | 77.8% | 58.0% |
| ResNet-152 | 46.3% | 46.3% | 50.5% | 47.0% | 45.5% | 84.0% |
表2:通用擾動在不同網絡之間的泛化性能。百分比表示了欺騙率。行表示架構用來計算通用擾動,列表示給出的架構的欺騙率。
通用擾動效果可視化. 為了深入了解通用擾動的影響在自然圖片上,我們現在可視化在ImageNet驗證集上標簽的分布。特別的,我們建立了一個有向圖G=(V,E)G = (V, E)G=(V,E),頂點表示標簽,有向邊e=(i→j)e = (i \rightarrow j)e=(i→j)表示了類別iii表示的圖片中的大多數被欺騙為標簽jjj,當運用通用擾動。邊的存在i→ji \rightarrow ji→j因此表明了優先欺騙的標簽對于圖片類別iii是jjj.我們構建了這個圖針對GoogLetNet,并且由于空間限制在補充部分可視化了整個圖,圖的可視化顯示了一個非常的拓撲結構。特別的,圖是不相交分量的并集,所欲的邊在一個分量中幾乎連接到了一個目標標簽。見圖7,兩個連接分量的證明。這個可視化清晰的證明了幾個主導類別的存在性,通用擾動幾乎是的自然圖片被分類到這個類別。我們假設這些主導標簽在圖片的空間上占據了很大的區域,因此代表了一個好的候選標簽,對于欺騙的大多數的圖片。注意到,這些主導的標簽是通過算法1自動的發現的,在計算擾動時不需要先驗地施加。
圖7:兩個連通分量的圖G=(V,E)G = (V, E)G=(V,E),頂點時標簽集合,有向邊i→ji \rightarrow ji→j表示類別iii中大多數的圖片被欺騙為類別jjj。
通用擾動的微調. 我們現在檢查是使用擾動圖片微調網路的效果。我們使用VGG-F架構,基于一個修改的訓練集來微調這個網絡,通用的擾動被添加到這個干凈的訓練集樣本中:對于每個訓練數據點,一個通用的擾動,有0.5的可能性添加,原始圖片有0.5的可能性保留3.為了考慮通用擾動的多樣性,我們預先計算了一個池子,10個不同的通用擾動,并且隨機的從這個池中添加擾動到訓練樣本。網絡通過5個額外的輪次在修改的訓練集上訓練,進行微調。為了評估微調在網絡魯棒性上的影響,我們計算了一個新的通用擾動,對于微調的網絡(使用算法1,p=∞,ξ=10p = \infty, \, \xi = 10p=∞,ξ=10),給出了網絡的欺騙率。在5個額外的輪次后,在驗證集上的欺騙率為76.2%,與原來的網絡(93.7%,見表1)有一個改善4。除了改善,微調的網絡依然對于小的通用擾動具有脆弱性。因此我們重復上面的步驟(例如,計算10個通用擾動的池子,對于微調的網絡,基于修改的訓練集上5個額外輪次修改的新網絡的微調),我們獲得了一個新的欺騙率80.0%。一般的,這個步驟的重復,固定的次數,沒有產生任何的改善,超過76.2%的欺騙率,經過一步微調獲得的。因此,雖然,微調網絡導致了輕微的魯棒性的改善,我們觀察到簡單的解決方法不能完全的免疫小的擾動。
4. 對于通用擾動的脆弱性的解釋
這個部分的目標是分析并且解釋深度神經網絡分類器對于通用擾動的高度的脆弱性。為了理解獨特的通用擾動的特性,我們首先比較了這類的擾動和其他類型的擾動,命名為i)隨機擾動,ii)對抗擾動使用一個隨機采樣(使用DF和FGS方法,在[11]和[5]),iii) 在數據集XXX上的對抗擾動的總和,iv)圖片的平均值(或者ImageNet 偏差)。對于每個擾動,我們繪制了相變圖在圖8,展示了在驗證集上L2L_2L2?范數的欺騙率,不同的擾動范數通過縮放每個擾動和一個乘法因子,來獲得目標范數,注意到通用擾動,使用ξ=2000\xi = 2000ξ=2000,也相應的縮放。
圖8: 不同擾動的欺騙率的比較,在Caffenet架構上實施的實驗。
可以觀察到,所提出的通用擾動可以快速的達到一個非常高的欺騙率,即使當擾動被限制在非常小的范數下。例如,使用算法1計算的通用擾動達到了一個85%的欺騙率,L2L_2L2?范數受限到ξ=2000\xi = 2000ξ=2000,而其他擾動對可比范數的影響要小得多。特別的,隨機向量沖半徑2000的球中標準分布采樣,只欺騙了驗證集上的10%。通用和隨機擾動的不同,表明了通用擾動探索了幾何相關性,在分類器決策邊界的不同部分。事實上,如果決策邊界的方向在鄰近的不同的數據點,是完全不相關的(對于決策邊界的距離的獨立性),最好通用擾動范數與隨機擾動比較。注意到,后者的量是好理解的(見4),因為隨機擾動的范數需要精確欺騙一個特殊數據點,行為Θ(d∥r∥2)\Theta(\sqrtozvdkddzhkzd \|r\|_2)Θ(d?∥r∥2?),ddd是輸入空間的維度,∥r∥2\|r\|_2∥r∥2?是數據點和決策邊界之間的距離(相等的,最小對抗擾動的范數)。對于考慮的ImageNet分類任務,這個量等于d∥r∥2≈2×104\sqrtozvdkddzhkzd \|r\|_2 \approx 2 \times 10^4d?∥r∥2?≈2×104,對于大多數的數據點,比通用擾動(ξ=2000\xi = 2000ξ=2000)至少大一個數量級。隨機和通用擾動的本質的不同,表明了,我們所探索的幾何決策邊界的冗余。
對于驗證集上每一張圖片xxx,我們計算了對抗擾動向量r(x)=arg?min?r∥r∥2s.t.k^(x+r)≠(^k)(x)r(x) = \underset{r}{\operatorname{arg\,min}} \|r\|_2 \quad s.t. \hat{k}(x + r) \neq \hat(k)(x)r(x)=rargmin?∥r∥2?s.t.k^(x+r)?=(^?k)(x).很容易看到r(x)r(x)r(x)是分類器決策邊界在x+r(x)x + r(x)x+r(x)的范數。向量r(x)r(x)r(x)因此不活了決策邊界在數據點xxx周圍的局部幾何。為了量化分類器決策邊界不同區域的相關性,我們定義了如下的矩陣。
N=[r(x1)∥r(x1)∥2,?,r(x1)∥r(x1)∥2]N = \left[\begin{matrix}\frac{r(x_1)}{\|r(x_1)\|_2}, \cdots, \frac{r(x_1)}{\|r(x_1)\|_2}\end{matrix}\right] N=[∥r(x1?)∥2?r(x1?)?,?,∥r(x1?)∥2?r(x1?)??]
在驗證集nnn個數據點附近的決策邊界的范數向量。對于二分類器,決策邊界是超平面,NNN的秩為1,因為所有的范數向量是共線的。為了捕捉更多的一般性的分在分類器的決策邊界的相關性,我們計算了矩陣NNN的奇異值,圖9顯示了CaffeNet架構的矩陣NNN的奇異值。我們進一步在同一個圖片上,顯示了通過在單位球衫隨機的標準采樣的NNN的列,獲取的奇異值。可以觀察到,后者的奇異值有一個緩慢的下降,NNN的奇異值下降的很快,這確認了深度網絡在決策邊界上的大的相關性和冗余。更為精確,這表明了了一個子空間SSS,維度d′(d′?d)d\prime(d\prime \ll d)d′(d′?d),限制了大多數的范數向量到自然圖片的周圍區域的決策邊界。我們假設通用擾動的存在欺騙了許多自然圖片,主要是因為這樣的一個低維子空間的存在,這個空間捕捉了決策邊界不同區域的相關性。實際上,這個子空間"搜集"范數到不同區域的決策邊界,屬于這個子空間的擾動因此很有可能欺騙數據點。為了驗證這個假設,我們選擇了一個隨機向量,范數ξ=2000\xi = 2000ξ=2000,屬于空間SSS,由前100個奇異向量構成,并且計算它的欺騙率在不同的圖片數據集(例如,一個圖片數據集,還沒有被使用計算SVD),這類的擾動可以欺騙將近38%的這些圖片,因此表明了廣尋子空間SSS的隨機方向,明顯優于隨機擾動(這類的擾動只能欺騙10%的數據)。圖10證明了子空間SSS捕捉到的決策邊界的相關性。值得進一步注意的是,低維子空間的存在解釋了圖6獲得的通用擾動的驚人的泛化性質,用非常少的圖片建立一個相對泛化的通用擾動。
圖9: 矩陣NNN的奇異值,包含了決策邊界的范數向量
圖10: 低緯子空間SSS包含的在自然圖片區域周圍的決策邊界的范數向量的證明。為了證明,我們強加了3個數據點{xi}i=13\{x_i\}_{i=1}^3{xi?}i=13?,對抗擾動是{ri}i=13\{r_i\}_{i=1}^3{ri?}i=13?,將相應的點送到決策邊界{Ri}i=13\{\mathscr{R}_i\}_{i=1}^3{Ri?}i=13?,顯示了。注意{ri}i=13\{r_i\}_{i=1}^3{ri?}i=13?在子空間SSS
不像上面的實驗,所提出的算法不需要選擇一個子空間的隨機向量,而是選擇一個指定的方向,來最大化總體的欺騙率。這解釋了使用隨機向量策略在子空間SSS獲得的欺騙率和算法1的差距。
5. 總結
我們顯示了小的通用擾動的存在,這些擾動可以在自然的圖片上欺騙頂尖的分類器。我們提出了一個迭代算法類生成統一擾動,并且強調了幾個這類擾動的屬性。特別的,我們顯示了通用擾動可以在不同的分類模型之間泛化,導致了雙重的通用(圖像不可知,網絡不可知)。我們進一步解釋了這類擾動的存在,在決策邊界的不同區域的相關性。這提供了思考關于深度網絡決策邊界的幾何學,有利于更好的理解這類系統。理論分析了決策邊界不同部分的幾何相關性,將會是未來研究的主題。
致謝
我們非常感謝NVIDIA公司的支持,為了這個研究捐助了Tesla K40 GPU的使用。
A. 附錄
圖11. 顯示了原始圖片和相對應的實驗的圖片3,圖片12,可視化圖,顯示了原始和擾動的標簽的關系(更多細節見部分3)
圖11: 原始圖片。前兩行是隨機從驗證集選擇的圖片,最后一行是個人從移動手機攝像頭拍攝的圖片
圖12: 表示了原始和擾動的標簽之間關系的圖。注意到“主流標簽”系統的出現。為了可讀性可以放大。為了可讀性孤立的點被去除了。
在一個智能手機手機上證明通用擾動的效果,可以點擊這里 ??
為了比較,一張圖片的平均L2L_2L2?和L∞L_\inftyL∞?被設置為相應的≈5×104\approx 5 \times 10^4≈5×104和≈250\approx 250≈250 ??
在微調的實驗中,我們使用了一個輕微的修改概念的通用擾動,擾動向量vvv的方向對于所有的數據點是固定的,規模是適應的。也就是,對于每個數據點xxx,我們考慮擾動點x+αvx + \alpha vx+αv,α\alphaα是一個最小的系數,可以欺騙分類器。我們觀察到這個反饋策略比起簡單的將通用擾動添加到所有的訓練點上的策略不太容易過擬合。 ??
微調的過程更多的是導致一個少數的在驗證集上錯誤率的上升,這可能是由于擾動數據的一個輕微的過擬合。 ??
總結
以上是生活随笔為你收集整理的Universal adversarial perturbations(翻译,侵删)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一文看懂单总线协议(1-wire)
- 下一篇: 计算机网络stp和utp,网线STP和U