歡迎大家來(lái)到圖像分類專欄，深度學(xué)習(xí)分類模型雖然性能強(qiáng)大，但是也常常會(huì)因?yàn)槭艿叫〉母蓴_而性能崩潰，對(duì)抗攻擊就是專門研究如何提高網(wǎng)絡(luò)模型魯棒性的方法，本文簡(jiǎn)要介紹相關(guān)內(nèi)容。

作者 | 郭冰洋

編輯 | 言有三

1 簡(jiǎn)介

對(duì)于人類而言，僅僅通過(guò)所接收到的視覺信息并不能完全幫助我們做出正確、迅速的判定，還需要結(jié)合我們的生活經(jīng)驗(yàn)做出相應(yīng)的反應(yīng)，以確定哪些信息是真實(shí)可靠的，而哪些信息是虛假偽造的，從而選取最適合的信息并做出最終的決策。

基于深度學(xué)習(xí)的圖像分類網(wǎng)絡(luò)，大多是在精心制作的數(shù)據(jù)集下進(jìn)行訓(xùn)練，并完成相應(yīng)的部署，對(duì)于數(shù)據(jù)集之外的圖像或稍加改造的圖像，網(wǎng)絡(luò)的識(shí)別能力往往會(huì)受到一定的影響，比如下圖中的雪山和河豚，在添加完相應(yīng)的噪聲之后被模型識(shí)別為了狗和螃蟹。

在此現(xiàn)象之下，對(duì)抗攻擊(Adversarial Attack)開始加入到網(wǎng)絡(luò)模型魯棒性的考查之中。通過(guò)添加不同的噪聲或?qū)D像的某些區(qū)域進(jìn)行一定的改造生成對(duì)抗樣本，以此樣本對(duì)網(wǎng)絡(luò)模型進(jìn)行攻擊以達(dá)到混淆網(wǎng)絡(luò)的目的，即對(duì)抗攻擊。而添加的這些干擾信息，在人眼看來(lái)是沒有任何區(qū)別的，但是對(duì)于網(wǎng)絡(luò)模型而言，某些數(shù)值的變化便會(huì)引起“牽一發(fā)而動(dòng)全身”的影響。這在實(shí)際應(yīng)用中將是非常重大的判定失誤，如果發(fā)生在安檢、安防等領(lǐng)域，將會(huì)出現(xiàn)不可估量的問(wèn)題。

本篇文章我們就來(lái)談?wù)剬?duì)抗攻擊對(duì)圖像分類網(wǎng)絡(luò)的影響，了解其攻擊方式和現(xiàn)有的解決措施。

2 對(duì)抗攻擊方式

2.1 白盒攻擊(White-box Attacks)

攻擊者已知模型內(nèi)部的所有信息和參數(shù)，基于給定模型的梯度生成對(duì)抗樣本，對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。

2.2 黑盒攻擊(Black-box Attacks)

當(dāng)攻擊者無(wú)法訪問(wèn)模型詳細(xì)信息時(shí)，白盒攻擊顯然不適用，黑盒攻擊即不了解模型的參數(shù)和結(jié)構(gòu)信息，僅通過(guò)模型的輸入和輸出，生成對(duì)抗樣本，再對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。

現(xiàn)實(shí)生活中相應(yīng)系統(tǒng)的保密程度還是很可靠的，模型的信息完全泄露的情況也很少，因此白盒攻擊的情況要遠(yuǎn)遠(yuǎn)少于黑盒攻擊。但二者的思想均是一致的，通過(guò)梯度信息以生成對(duì)抗樣本，從而達(dá)到欺騙網(wǎng)絡(luò)模型的目的。

3 解決方案

3.1 ALP

Adversarial Logit Paring (ALP)[1]是一種對(duì)抗性訓(xùn)練方法，通過(guò)對(duì)一個(gè)干凈圖像的網(wǎng)絡(luò)和它的對(duì)抗樣本進(jìn)行類似的預(yù)測(cè)，其思想可以解釋為使用清潔圖像的預(yù)測(cè)結(jié)果作為“無(wú)噪聲”參考，使對(duì)抗樣本學(xué)習(xí)清潔圖像的特征，以達(dá)到去噪的目的。該方法在ImageNet數(shù)據(jù)集上對(duì)白盒攻擊和黑盒攻擊分別取得了 55.4%和77.3%的準(zhǔn)確率。

3.2 Pixel Denoising

Pixel Denosing是以圖像去噪的思想避免對(duì)抗攻擊的干擾，其中代表性的是Liao等[2]提出的在網(wǎng)絡(luò)高級(jí)別的特征圖上設(shè)置一個(gè)去噪模塊，以促進(jìn)淺層網(wǎng)絡(luò)部分更好的學(xué)習(xí)“干凈”的特征。

3.3 Non-differentiable Transform

無(wú)論是白盒攻擊還是黑盒攻擊，其核心思想是對(duì)網(wǎng)絡(luò)的梯度和參數(shù)進(jìn)行估計(jì)，以完成對(duì)抗樣本的生成。Guo等[3]提出采用更加多樣化的不可微圖像變換操作(Non-differentiable Transform)以增加網(wǎng)絡(luò)梯度預(yù)測(cè)的難度，通過(guò)拼接、方差最小化等操作以達(dá)到防御的目的。

3.4 Feature Level

通過(guò)觀察網(wǎng)絡(luò)特征圖來(lái)監(jiān)測(cè)干擾信息的影響，是Xie等[4]提出的一種全新思路，即對(duì)比清潔圖像和對(duì)抗樣本的特征圖變化(如上圖所示)，從而設(shè)計(jì)一種更加有效直觀的去噪模塊，以增強(qiáng)網(wǎng)絡(luò)模型的魯棒性，同樣取得了非常有效的結(jié)果。

除此之外，諸多研究人員針對(duì)梯度下降算法提出了混淆梯度(Obfuscated gradients)的防御機(jī)制，在網(wǎng)絡(luò)參數(shù)更新的梯度優(yōu)化階段采用離散梯度、隨機(jī)梯度與梯度爆炸等方法，實(shí)現(xiàn)更好的防御措施。

參考文獻(xiàn)：

1 H. Kannan, A. Kurakin, and I. Goodfellow. Adversarial logitpairing. In NIPS, 2018.2 F. Liao, M. Liang, Y. Dong, and T. Pang. Defense againstadversarial attacks using high-level representation guideddenoiser. In CVPR, 20183 C. Guo, M. Rana, M. Cisse, and L. van der Maaten. Counteringadversarial images using input transformations. In ICLR,2018.4 Cihang Xie,Yuxin Wu,Laurens van der Maaten,Alan Yuille and Kaiming He. Feature Denoising for Improving Adversarial Robustness.In CVPR 2019總結(jié)

對(duì)抗攻擊是圖像分類網(wǎng)絡(luò)模型面臨的一大挑戰(zhàn)，日后也將是識(shí)別、分割模型的一大干擾，有效地解決對(duì)抗樣本的影響，增加網(wǎng)絡(luò)模型的魯棒性和安全性，也是我們需要進(jìn)一步研究的內(nèi)容。

總結(jié)

以上是生活随笔為你收集整理的黑盒攻击的分类_「图像分类」图像分类中的对抗攻击是怎么回事？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。