基于图像变换的对抗样本检测技术研究
发布时间:2020-12-06 09:39
随着深度学习的迅速发展和广泛应用的巨大成功,它正被应用于许多安全关键环境中,并且已经成为从自动驾驶汽车到监控和安全等应用领域的的主力。然而最近发现,深层神经网络容易受到对抗样本攻击。具体来说,对抗样本是添加微小干扰,精心设计形成的输入样本,对于我们人眼来说,所谓的微小扰动往往小到难以察觉,但却能完全愚弄深度学习模型,判定该对抗样本为错误类别。如今各种各样的攻击方法层出不穷,为了保证深度学习应用领域的安全,针对深度学习中的对抗样本攻击,目前主要的防御方法可以从模型和数据两方面进行分类。模型层面又可以分为修改网络和使用附加网络,数据层面主要是指在学习过程中修改训练过程或者修改的输入样本。通过研究发现,对抗样本经过一些图像变换操作以后,可以破坏对抗样本的效果,使其对深度网络效应发生变化。根据这一特性,我们提出一种基于图像变换的对抗样本检测方法。我们将数据集图像作为原始图像,首先对神经网络识别器生成对抗样本,使其能成功被对抗样本欺骗。然后我们对原始图像和对抗样本进行相同的图像变换操作,本文中主要使用三种图像变换技术,将变换前后的样本输入模型,得到变换前后的每组预测值,作为训练SVM分类器的输入...
【文章来源】:江西师范大学江西省
【文章页数】:47 页
【学位级别】:硕士
【部分图文】:
左图被58.2%地认为是大熊猫,加入扰动,右图被99.8%地认为是长臂猿
ixtetxclipxsignJxy(2-3)和L-BFGS比较,FGSM更快且高效,主要是因为FGSM只需要计算一次梯度。增加整体损失是FGSM的主要目的。有一种针对性攻击方法,称为基本迭代法的,主要方法是采用更小的攻击步长,并且用真实标签targety来代替原有的预测标签y,更新策略使用L2范式,通过迭代构建对抗样本。公式里的,xclip代表对抗样本样本的值的一个剪切,控制对抗样本在正常样本x的s邻域范围内,只要ix被错误分类,或者超出该点的附加噪声值范围时,就终止此次循环。在Imagnet图像数据集上,这种方法比FGSM要有效很多。图2-2对抗攻击流程不同于FGSM攻击方式,大量的计算对于其他许多攻击方式,都是必需的,因此,当选择使用的攻击方式时,方便有效是一个重要因素。因此,FGSM由于算法简单实用易理解,使用范围很广。这个算法具体过程如下:从初始化开始,样本为x,寻找可以使xx,重复这个步骤,直到神经网络收敛。DeepFool方式:DeepFool是由S.Moosavi-Dezfooli等人提出。该方法是基于超平面分类思想的一种对抗样本生成方法,超平面是实现分类的基矗具体阐述就是当需要改变某个样本的原有分类,设该样本为x,需要的最小扰动就是将
盗饭?袒蛘咝薷牡氖淙胙?尽#?)修改网络,比如:添加更多层子网络、改变损失或激活函数等。(3)当分类未见过的样本时,用外部模型作为附加网络。其中,第一个研究方向的方法并不直接处理模型,而其他两类更注重神经网络本身。后两个类别下的技术可进一步分为两类;即完全防御和仅检测。完整的防御方法旨在使目标网络能够在对抗性的例子上实现其最初的目标,例如,一个分类器以可接受的精度预测对抗性例子的标签。另一方面,仅检测方法意味着对可能具有对抗性的样本发出警告,以在任何进一步处理中拒绝它们。以上分类如下图2-3所示。图2-3防御对抗攻击的方法分类修改训练过程或输入数据:该方法主要有以下四个方式。一是蛮力对抗训练通过不断输入新类型的对抗样本并执行对抗训练,从而不断提升网络的鲁棒性。为了保证有效性,该方法需要使用高强度的对抗样本,并且网络架构要有充足的表达能力。这种方法需要大量的训练数据,因而被称为蛮力对抗训练。很多文献中提到这种蛮力的对抗训练可以正则化网络以减少过拟合[18]。然而,Moosavi-Dezfooli[19]指出,无论添加多少对抗样本,都存在新的对抗样本可以再次欺骗网络。第二种是数据压缩,我们容易发现大多数训练图像都是JPG格式,Dziugaite[20]等人使用JPG图像压缩的方法,减少对抗扰动对准确率的影响。实验证明该方法对部分对抗攻击算法有效,但通常仅采用压缩方法是远远不够的,并且压缩图像时同时也会降低正常分类的准确率,后来提出的PCA压缩方法也有同样的缺点。第三种是基于中央凹机制的防御可以防御L-BFGS和FGSM生成的对抗扰动,其假设是图像分布对于转换变动是鲁棒的,而扰动不具备这种特性。但这种方法的普遍性尚未得到证明。最后一类是数据随机化方法,对训练图像引入随机重缩放可
【参考文献】:
期刊论文
[1]图像压缩感知的目标跟踪多特征提取算法[J]. 徐华伟,颜晶晶. 计算机与数字工程. 2019(09)
[2]局部自适应的灰度图像彩色化[J]. 曹丽琴,商永星,刘婷婷,李治江,马爱龙. 中国图象图形学报. 2019(08)
[3]SVM参数优化及其在储集层评价中的应用研究[J]. 任义丽,米兰,冯周. 信息系统工程. 2019(07)
[4]基于LeNet-5卷积神经网络的车牌字符识别[J]. 赵艳芹,童朝娣,张恒. 黑龙江科技大学学报. 2019(03)
[5]基于交叉验证的模型选择中投票和平均方法的对照[J]. 侯利君. 数学的实践与认识. 2019(09)
[6]基于双线性插值的印刷图像旋转算法实现[J]. 李承轩,舒忠. 现代计算机(专业版). 2019(11)
[7]人工智能在汽车自动驾驶系统中的应用分析[J]. 晏欣炜,朱政泽,周奎,彭彬. 湖北汽车工业学院学报. 2018(01)
[8]基本图像处理算法的优化过程研究[J]. 徐启航,游安清,马社,崔云俊. 计算机科学. 2017(S1)
硕士论文
[1]基于DCT变换的对抗样本防御方法研究[D]. 闫明.哈尔滨工业大学 2018
[2]基于特征抽取和分步回归算法的资金流入流出预测模型[D]. 曹璨.中国科学技术大学 2017
本文编号:2901164
【文章来源】:江西师范大学江西省
【文章页数】:47 页
【学位级别】:硕士
【部分图文】:
左图被58.2%地认为是大熊猫,加入扰动,右图被99.8%地认为是长臂猿
ixtetxclipxsignJxy(2-3)和L-BFGS比较,FGSM更快且高效,主要是因为FGSM只需要计算一次梯度。增加整体损失是FGSM的主要目的。有一种针对性攻击方法,称为基本迭代法的,主要方法是采用更小的攻击步长,并且用真实标签targety来代替原有的预测标签y,更新策略使用L2范式,通过迭代构建对抗样本。公式里的,xclip代表对抗样本样本的值的一个剪切,控制对抗样本在正常样本x的s邻域范围内,只要ix被错误分类,或者超出该点的附加噪声值范围时,就终止此次循环。在Imagnet图像数据集上,这种方法比FGSM要有效很多。图2-2对抗攻击流程不同于FGSM攻击方式,大量的计算对于其他许多攻击方式,都是必需的,因此,当选择使用的攻击方式时,方便有效是一个重要因素。因此,FGSM由于算法简单实用易理解,使用范围很广。这个算法具体过程如下:从初始化开始,样本为x,寻找可以使xx,重复这个步骤,直到神经网络收敛。DeepFool方式:DeepFool是由S.Moosavi-Dezfooli等人提出。该方法是基于超平面分类思想的一种对抗样本生成方法,超平面是实现分类的基矗具体阐述就是当需要改变某个样本的原有分类,设该样本为x,需要的最小扰动就是将
盗饭?袒蛘咝薷牡氖淙胙?尽#?)修改网络,比如:添加更多层子网络、改变损失或激活函数等。(3)当分类未见过的样本时,用外部模型作为附加网络。其中,第一个研究方向的方法并不直接处理模型,而其他两类更注重神经网络本身。后两个类别下的技术可进一步分为两类;即完全防御和仅检测。完整的防御方法旨在使目标网络能够在对抗性的例子上实现其最初的目标,例如,一个分类器以可接受的精度预测对抗性例子的标签。另一方面,仅检测方法意味着对可能具有对抗性的样本发出警告,以在任何进一步处理中拒绝它们。以上分类如下图2-3所示。图2-3防御对抗攻击的方法分类修改训练过程或输入数据:该方法主要有以下四个方式。一是蛮力对抗训练通过不断输入新类型的对抗样本并执行对抗训练,从而不断提升网络的鲁棒性。为了保证有效性,该方法需要使用高强度的对抗样本,并且网络架构要有充足的表达能力。这种方法需要大量的训练数据,因而被称为蛮力对抗训练。很多文献中提到这种蛮力的对抗训练可以正则化网络以减少过拟合[18]。然而,Moosavi-Dezfooli[19]指出,无论添加多少对抗样本,都存在新的对抗样本可以再次欺骗网络。第二种是数据压缩,我们容易发现大多数训练图像都是JPG格式,Dziugaite[20]等人使用JPG图像压缩的方法,减少对抗扰动对准确率的影响。实验证明该方法对部分对抗攻击算法有效,但通常仅采用压缩方法是远远不够的,并且压缩图像时同时也会降低正常分类的准确率,后来提出的PCA压缩方法也有同样的缺点。第三种是基于中央凹机制的防御可以防御L-BFGS和FGSM生成的对抗扰动,其假设是图像分布对于转换变动是鲁棒的,而扰动不具备这种特性。但这种方法的普遍性尚未得到证明。最后一类是数据随机化方法,对训练图像引入随机重缩放可
【参考文献】:
期刊论文
[1]图像压缩感知的目标跟踪多特征提取算法[J]. 徐华伟,颜晶晶. 计算机与数字工程. 2019(09)
[2]局部自适应的灰度图像彩色化[J]. 曹丽琴,商永星,刘婷婷,李治江,马爱龙. 中国图象图形学报. 2019(08)
[3]SVM参数优化及其在储集层评价中的应用研究[J]. 任义丽,米兰,冯周. 信息系统工程. 2019(07)
[4]基于LeNet-5卷积神经网络的车牌字符识别[J]. 赵艳芹,童朝娣,张恒. 黑龙江科技大学学报. 2019(03)
[5]基于交叉验证的模型选择中投票和平均方法的对照[J]. 侯利君. 数学的实践与认识. 2019(09)
[6]基于双线性插值的印刷图像旋转算法实现[J]. 李承轩,舒忠. 现代计算机(专业版). 2019(11)
[7]人工智能在汽车自动驾驶系统中的应用分析[J]. 晏欣炜,朱政泽,周奎,彭彬. 湖北汽车工业学院学报. 2018(01)
[8]基本图像处理算法的优化过程研究[J]. 徐启航,游安清,马社,崔云俊. 计算机科学. 2017(S1)
硕士论文
[1]基于DCT变换的对抗样本防御方法研究[D]. 闫明.哈尔滨工业大学 2018
[2]基于特征抽取和分步回归算法的资金流入流出预测模型[D]. 曹璨.中国科学技术大学 2017
本文编号:2901164
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/2901164.html
