論文標(biāo)題

ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD

論文url

https://arxiv.org/pdf/1607.02533.pdf?utm_source=sciontist.com&utm_medium=refer&utm_campaign=promote

論文核心內(nèi)容：

• 提出了迭代FGSM的方法，以及l(fā)east likely 攻擊的方法。
• 做了一系統(tǒng)的實(shí)驗(yàn)，驗(yàn)證在真實(shí)的物理環(huán)境中，那些直接使用數(shù)字圖像生成的對(duì)抗樣本是否依然具有使分類(lèi)器分類(lèi)錯(cuò)誤的能力。為什么要有這么疑問(wèn)呢？這是因?yàn)?#xff0c;之前的機(jī)器學(xué)習(xí)對(duì)抗工作都是直接在數(shù)字圖像本身做的操作，這些對(duì)抗后的圖像會(huì)直接調(diào)用api輸入到神經(jīng)網(wǎng)絡(luò)里面去。但是在現(xiàn)實(shí)中，圖像都是基于感光設(shè)備采集的，這些感光設(shè)備在生成圖像的時(shí)候，其實(shí)是引入噪聲的，例如環(huán)境光的影響、攝像頭離圖片的位置的影響，這些影響是很有可能把攻擊者千方百計(jì)加入的微小擾動(dòng)的作用給破壞掉的。作者把這種感光設(shè)備采集圖像中引入噪聲的過(guò)程叫做 photo transformation，然后這些transformation又可以看作是改變光照、模糊、加入噪聲的這些子變化的合成，并做實(shí)驗(yàn)量化這些transformation的影響。

Iterative FGSM

Basic Iterative FGSM

作者對(duì)原始的FGSM方法做了一點(diǎn)推廣，提出了迭代的FGSM.
原始的FGSM:

FGSM里面，每次尋找對(duì)抗樣本的時(shí)候，直接是$x+\epsilon sign({?}_{x}J(x,y))$ ，這樣是把每個(gè)像素點(diǎn)都變化了 $\epsilon$ 這么大。這個(gè)改動(dòng)其實(shí)是挺大，因?yàn)槊總€(gè)像素點(diǎn)都動(dòng)了。

我們考慮$FGSM$ 提出的理論假設(shè)：假設(shè)目標(biāo)損失函數(shù)$J(x,y)$與$x$之間是近似線(xiàn)性的，即$J(x,y)\approx w^{T}x$，然后我們想往x加上一個(gè)小的擾動(dòng)$\delta$，使得$J(x,y)$變的最大。而$J(x+\delta ,y)?J(x,y)\approx w^T\delta$,這玩意要最大，那當(dāng)時(shí)是直接$\delta =\epsilon sign({?}_{x}J(x,y))$。

但是 這個(gè)線(xiàn)性假設(shè)不一定是正確的呀，如果J和x不是線(xiàn)性的，那么是否存在$(0,\epsilon sign({?}_{x}J(x,y)))$之間的某個(gè)擾動(dòng)，使得J增加的也很大？此時(shí)x的修改量就可以小于$\epsilon$ 了。

于是，作者就提出迭代的方式來(lái)找各個(gè)像素點(diǎn)的擾動(dòng)，而不是一次性所有像素都改那么多的想法。

其中有個(gè)Clip截?cái)嗪瘮?shù)：

這個(gè)截?cái)嗪瘮?shù)寫(xiě)的花里胡哨的，但是表達(dá)的意思說(shuō)穿了就一文不值，這個(gè)函數(shù)等價(jià)于：

它其實(shí)是想說(shuō)X’的每個(gè)像素都得在X對(duì)應(yīng)像素的ε鄰域，同時(shí)又得是有意義的圖片。

于是這個(gè)迭代的含義就是：每次在上一步的對(duì)抗樣本的基礎(chǔ)上，各個(gè)像素增長(zhǎng)$\alpha$（當(dāng)然也可以減少），然后再執(zhí)行裁剪，保證新樣本的各個(gè)像素都在X的各個(gè)像素的$\epsilon$ 鄰域內(nèi)。這種迭代的方法是有可能在各個(gè)像素變化小于$\epsilon$ 的情況下找到對(duì)抗樣本的，如果找不到大不了最差的效果就跟原始的$FGSM$一樣。

Iterative Least-likely Class FGSM

最不相似的FGSM,其實(shí)是有目標(biāo)攻擊，它把目標(biāo)設(shè)置為原樣本最不可能的標(biāo)簽，然后執(zhí)行有目標(biāo)攻擊。

再迭代攻擊：

注意，這里是減去擾動(dòng)，其原因和FGSM的定向攻擊是一樣的。

迭代FGSM的攻擊效果

可以看到，當(dāng)ε 比較小的，迭代攻擊效果是更原始的FGSM好的。而且Least-likely 的攻擊效果最好，從圖片上看也能看出來(lái)least-likely的改動(dòng)是最小的。

現(xiàn)實(shí)攻擊

作者想實(shí)驗(yàn)一下這些生成出來(lái)的對(duì)抗圖片，被照相機(jī)拍照后是否還具有對(duì)抗效果。注意！作者沒(méi)有對(duì)照相機(jī)對(duì)圖片的擾動(dòng)進(jìn)行建模。而是直接拿著這些對(duì)抗圖片的拍照結(jié)果放進(jìn)模型試試。

實(shí)驗(yàn)設(shè)置

不得不說(shuō)，這篇論文的實(shí)驗(yàn)設(shè)置還是很系統(tǒng)化的。

步驟：

• 使用ImageNet訓(xùn)練一個(gè)Inception V3網(wǎng)絡(luò)。
• 尋找驗(yàn)證集里面特定樣本的對(duì)抗樣本，（使用不同的對(duì)抗方法，以及不同的ε）
• 把原始樣本和對(duì)抗樣本打印出來(lái)，并用手機(jī)拍這些打印出來(lái)的圖片，圖片有二維碼定位用。
• 使用Inception V3模型識(shí)別手機(jī)拍出來(lái)的圖片。

可以看到，Photo Transformation還是對(duì)對(duì)抗樣本的對(duì)抗性有一定的損失作用的。其中FGSM的影響相對(duì)比較小，因?yàn)镕GSM改動(dòng)大。而迭代的都影響大，這是因?yàn)樗鼈兏膭?dòng)小，然后這些擾動(dòng)又被傳感器的精度問(wèn)題給破壞了。

這個(gè)表表示，Photo Transform對(duì)對(duì)抗性的破壞能力。Destrction rate的定義如下：

表示經(jīng)過(guò)Photo Transformation后，有多少“有效”對(duì)抗樣本（指對(duì)抗樣本讓分類(lèi)器分類(lèi)錯(cuò)誤，而原樣本可以被正確分類(lèi)）又不會(huì)被錯(cuò)誤分類(lèi)的比例。

其它變換對(duì)對(duì)抗樣本的影響

作者探究了不同的子變換對(duì)對(duì)抗樣本的對(duì)抗性的影響。這個(gè)是通過(guò)直接改數(shù)字圖像來(lái)完成的。

總結(jié)

以上是生活随笔為你收集整理的对抗机器学习—— 迭代FGSM的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。