歡迎大家來到圖像分類專欄，深度學(xué)習(xí)分類模型雖然性能強大，但是也常常會因為受到小的干擾而性能崩潰，對抗攻擊就是專門研究如何提高網(wǎng)絡(luò)模型魯棒性的方法，本文簡要介紹相關(guān)內(nèi)容。

作者&編輯 | 郭冰洋

1 簡介

對于人類而言，僅僅通過所接收到的視覺信息并不能完全幫助我們做出正確、迅速的判定，還需要結(jié)合我們的生活經(jīng)驗做出相應(yīng)的反應(yīng)，以確定哪些信息是真實可靠的，而哪些信息是虛假偽造的，從而選取最適合的信息并做出最終的決策。

基于深度學(xué)習(xí)的圖像分類網(wǎng)絡(luò)，大多是在精心制作的數(shù)據(jù)集下進行訓(xùn)練，并完成相應(yīng)的部署，對于數(shù)據(jù)集之外的圖像或稍加改造的圖像，網(wǎng)絡(luò)的識別能力往往會受到一定的影響，比如下圖中的雪山和河豚，在添加完相應(yīng)的噪聲之后被模型識別為了狗和螃蟹。

在此現(xiàn)象之下，對抗攻擊（Adversarial Attack）開始加入到網(wǎng)絡(luò)模型魯棒性的考查之中。通過添加不同的噪聲或?qū)D像的某些區(qū)域進行一定的改造生成對抗樣本，以此樣本對網(wǎng)絡(luò)模型進行攻擊以達到混淆網(wǎng)絡(luò)的目的，即對抗攻擊。而添加的這些干擾信息，在人眼看來是沒有任何區(qū)別的，但是對于網(wǎng)絡(luò)模型而言，某些數(shù)值的變化便會引起“牽一發(fā)而動全身”的影響。這在實際應(yīng)用中將是非常重大的判定失誤，如果發(fā)生在安檢、安防等領(lǐng)域，將會出現(xiàn)不可估量的問題。

本篇文章我們就來談?wù)剬构魧D像分類網(wǎng)絡(luò)的影響，了解其攻擊方式和現(xiàn)有的解決措施。

2 對抗攻擊方式

2.1 白盒攻擊（White-box Attacks）

攻擊者已知模型內(nèi)部的所有信息和參數(shù)，基于給定模型的梯度生成對抗樣本，對網(wǎng)絡(luò)進行攻擊。

2.2?黑盒攻擊（Black-box Attacks）

當(dāng)攻擊者無法訪問模型詳細信息時，白盒攻擊顯然不適用，黑盒攻擊即不了解模型的參數(shù)和結(jié)構(gòu)信息，僅通過模型的輸入和輸出，生成對抗樣本，再對網(wǎng)絡(luò)進行攻擊。

現(xiàn)實生活中相應(yīng)系統(tǒng)的保密程度還是很可靠的，模型的信息完全泄露的情況也很少，因此白盒攻擊的情況要遠遠少于黑盒攻擊。但二者的思想均是一致的，通過梯度信息以生成對抗樣本，從而達到欺騙網(wǎng)絡(luò)模型的目的。

3 解決方案

3.1 ALP

Adversarial Logit Paring (ALP)[1]是一種對抗性訓(xùn)練方法，通過對一個干凈圖像的網(wǎng)絡(luò)和它的對抗樣本進行類似的預(yù)測，其思想可以解釋為使用清潔圖像的預(yù)測結(jié)果作為“無噪聲”參考，使對抗樣本學(xué)習(xí)清潔圖像的特征，以達到去噪的目的。該方法在ImageNet數(shù)據(jù)集上對白盒攻擊和黑盒攻擊分別取得了 55.4%和77.3%的準確率。

3.2 Pixel Denoising

Pixel Denosing是以圖像去噪的思想避免對抗攻擊的干擾，其中代表性的是Liao等[2]提出的在網(wǎng)絡(luò)高級別的特征圖上設(shè)置一個去噪模塊，以促進淺層網(wǎng)絡(luò)部分更好的學(xué)習(xí)“干凈”的特征。

3.3 Non-differentiable Transform

無論是白盒攻擊還是黑盒攻擊，其核心思想是對網(wǎng)絡(luò)的梯度和參數(shù)進行估計，以完成對抗樣本的生成。Guo等[3]提出采用更加多樣化的不可微圖像變換操作（Non-differentiable Transform）以增加網(wǎng)絡(luò)梯度預(yù)測的難度，通過拼接、方差最小化等操作以達到防御的目的。

3.4 Feature Level

通過觀察網(wǎng)絡(luò)特征圖來監(jiān)測干擾信息的影響，是Xie等[4]提出的一種全新思路，即對比清潔圖像和對抗樣本的特征圖變化（如上圖所示），從而設(shè)計一種更加有效直觀的去噪模塊，以增強網(wǎng)絡(luò)模型的魯棒性，同樣取得了非常有效的結(jié)果。

除此之外，諸多研究人員針對梯度下降算法提出了混淆梯度（Obfuscated gradients）的防御機制，在網(wǎng)絡(luò)參數(shù)更新的梯度優(yōu)化階段采用離散梯度、隨機梯度與梯度爆炸等方法，實現(xiàn)更好的防御措施。

參考文獻：

1 H. Kannan, A. Kurakin, and I. Goodfellow. Adversarial logit

pairing. In NIPS, 2018.

2 F. Liao, M. Liang, Y. Dong, and T. Pang. Defense against

adversarial attacks using high-level representation guided

denoiser. In CVPR, 2018

3 C. Guo, M. Rana, M. Cisse, and L. van der Maaten. Countering

adversarial images using input transformations. In ICLR,

2018.

4 Cihang Xie,Yuxin Wu,Laurens van der Maaten,Alan Yuille and Kaiming He. Feature Denoising for Improving Adversarial Robustness.In CVPR 2019

總結(jié)

對抗攻擊是圖像分類網(wǎng)絡(luò)模型面臨的一大挑戰(zhàn)，日后也將是識別、分割模型的一大干擾，有效地解決對抗樣本的影響，增加網(wǎng)絡(luò)模型的魯棒性和安全性，也是我們需要進一步研究的內(nèi)容。

轉(zhuǎn)載文章請后臺聯(lián)系

侵權(quán)必究

往期精選

總結(jié)

以上是生活随笔為你收集整理的【图像分类】 图像分类中的对抗攻击是怎么回事？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。