首页 > 其他分享 >Summary:《Adversarial Machine Learning in Image Classification: A Survey Towards the Defender’s Persp

Summary:《Adversarial Machine Learning in Image Classification: A Survey Towards the Defender’s Persp

时间:2024-06-11 20:35:25浏览次数:18  
标签:Towards Classification 攻击 Image 对抗性 Attacks 攻击者 扰动 模型

Note

“Taxonomy of Adversarial Images” (Machado 等, 2023, p. 5) (pdf)

  1. 扰动范围(Perturbation Scope):

    • 个体扰动(Individual-scoped perturbations): 为每个输入图像单独生成的扰动。

    • 通用扰动(Universal-scoped perturbations): 独立于任何输入样本生成的扰动,可应用于任何合法图像,导致误分类。

  2. 扰动可见性(Perturbation Visibility):

    • 最优扰动(Optimal perturbations): 对人类视觉不可感知,但能导致深度学习模型误分类。

    • 难以区分的扰动(Indistinguishable perturbations): 同样对人类视觉不可感知,但不足以欺骗深度学习模型。

    • 可见扰动(Visible perturbations): 能被人类容易发现,但也能导致模型误分类。

    • 物理扰动(Physical perturbations): 在现实世界中对物体本身添加的扰动,通常用于目标检测任务。

    • 欺骗图像(Fooling images): 被破坏到人类无法识别,但模型仍然能以高置信度分类的图像。

    • 噪声(Noise): 非恶意或非最优的干扰,可能存在于输入图像中。

  3. 扰动度量(Perturbation Measurement):

    • 使用p-范数(p-norms)来控制图像中插入的扰动的大小和数量,包括L0、L1、L2和L∞范数,分别对应不同的方式来度量扰动。

“Taxonomy of Attacks and Attackers” (Machado 等, 2023, p. 7) (pdf)

  1. 攻击者的影响力(Attacker’s Influence):

    • 因果性攻击(Causative or Poisoning Attacks): 攻击者在模型训练阶段有影响力,通过污染训练数据来影响模型。

    • 规避性攻击(Evasive or Exploratory Attacks): 攻击者在模型推理或测试阶段有影响力,通过生成对抗性样本来误导模型。

  2. 攻击者的知识(Attacker’s Knowledge):

    • 白盒攻击(White-box Attacks): 攻击者完全访问模型参数和架构。

    • 黑盒攻击(Black-box Attacks): 攻击者对模型和防御方法没有任何访问或知识。

    • 灰盒攻击(Grey-box Attacks): 攻击者对模型有访问,但没有防御方法的信息。

  3. 安全违规(Security Violation):

    • 完整性违规(Integrity Violation): 对抗性攻击导致模型误分类,但不损害系统功能。

    • 可用性违规(Availability Violation): 攻击影响系统功能,导致服务拒绝。

    • 隐私违规(Privacy Violation): 攻击者获取模型参数、架构等信息。

  4. 攻击特定性(Attack Specificity):

    • 目标攻击(Targeted Attack): 攻击者生成对抗性图像,使模型将其错误分类为攻击者预先确定的特定类别。

    • 非目标攻击(Untargeted Attack): 攻击者生成对抗性图像,使模型将其错误分类为任何与原始类别不同的类别。

  5. 攻击计算(Attack Computation):

    • 顺序算法(Sequential Algorithms): 仅通过一次迭代计算扰动。

    • 迭代算法(Iterative Algorithms): 使用多次迭代来精心计算扰动。

  6. 攻击方法(Attack Approach):

    • 基于梯度的攻击(Gradient-based Attacks): 使用模型梯度信息来生成扰动。

    • 基于迁移/分数的攻击(Transfer/Score-based Attacks): 依赖于获取数据集或模型预测分数来近似梯度。

    • 基于决策的攻击(Decision-based Attacks): 通过查询模型的softmax层并使用拒绝采样过程迭代计算较小的扰动。

    • 基于近似的攻击(Approximation-based Attacks): 尝试为非可微技术形成的目标模型或防御近似梯度。

“Algorithms for Generating Adversarial Images” (Machado 等, 2023, p. 10) (pdf)

  1. 快速梯度符号方法(Fast Gradient Sign Method, FGSM):

    • FGSM是由Goodfellow等人提出的一种顺序算法,它利用模型梯度信息在单步操作中生成对抗性样本。FGSM通过在合法图像上添加一个小的扰动来最大化模型的错误率,从而生成对抗性图像。
  2. 基本迭代方法(Basic Iterative Method, BIM):

    • BIM是FGSM的迭代版本,它通过多次小步骤逐渐构建对抗性扰动。这种方法允许更精细地控制扰动的大小,以生成更有效的对抗性样本。
  3. DeepFool:

    • DeepFool算法的核心思想是找到给定合法图像的最近决策边界,然后通过微小的扰动使图像越过这个边界,误导分类器。DeepFool通过线性化分类器来近似解决方案,并迭代地更新扰动方向。
  4. Carlini & Wagner Attack (CW Attack):

    • CW攻击是一种先进的对抗性攻击算法,它使用梯度下降来解决一个优化问题,目标是找到一个小的扰动,能够使模型误分类输入图像。CW攻击通过最小化扰动的大小并增加误分类的置信度来生成对抗性样本。
  5. 其他算法:

    • 论文中还提到了其他一些对抗性攻击算法,如JSMA(Jacobian-based Saliency Map Attack)、L-BFGS(Limited-memory Broyden–Fletcher–Goldfarb–Shanno algorithm)、POBA-GA(Perturbation Optimized Black-box Adversarial Attacks via Genetic Algorithm)等,它们根据不同的原则和方法来生成对抗性样本。

标签:Towards,Classification,攻击,Image,对抗性,Attacks,攻击者,扰动,模型
From: https://www.cnblogs.com/yukight/p/18242655

相关文章

  • DISM(Deployment Image Servicing and Management)和wimlib虽然都可以用来处理Windows映
    DISM(DeploymentImageServicingandManagement)和wimlib都是用于Windows系统的映像管理工具,它们可以用来处理Windows映像文件(.wim文件),但在功能和使用上有一些不同点。下面是它们的比较:DISM(DeploymentImageServicingandManagement)内置工具:DISM是Windows操作系统......
  • Image 32 动画演示1
    Image32自带的Demo,添加一些注解。 unituFrmAnimation;interfaceusesWinapi.Windows,Winapi.Messages,System.SysUtils,System.Classes,System.Variants,System.Math,Vcl.Graphics,Vcl.Controls,Vcl.Forms,Vcl.Dialogs,Vcl.StdCtrls,Vcl.ExtCtrls,//......
  • Image32 动画演示2
    Image32自带的Demo,添加一些注解。unituFrmAnimation2;interfaceusesWinapi.Windows,Winapi.Messages,System.SysUtils,System.Variants,System.Classes,Vcl.Graphics,Vcl.Controls,Vcl.Forms,Vcl.Dialogs,Vcl.StdCtrls,Vcl.ExtCtrls,System.Math,Img3......
  • [TinyRenderer] Chapter1 p1 Output Image
    由于本文章是对TinyRenderer的模仿,所以并不打算引入外部库。那么我们第一步需要解决的就是图形输出的问题,毕竟,如果连渲染的结果都看不到,那还叫什么Renderer嘛。由于不引入外部库,所以选择输出的图片格式应该越简单越好,各种位图就成为了我们的首选。这里我们选择了生态较好的bmp......
  • 吴恩达机器学习第一课 Supervised Machine Learning Regression and Classification
    SupervisedMachineLearningRegressionandClassification第一周1.1机器学习定义1.2监督学习1.2.1回归在输入输出学习后,然后输入一个没有见过的x输出相应的y1.2.2classification有多个输出1.3无监督学习数据仅仅带有输入x,但不输出标签y,算法需要找到数据中的......
  • CA Data Classification algorithm
    CAAssignment1DataClassification ImplementingPerceptronalgorithmAssessmentInformationAssignmentNumber1(of2)Weighting15%AssignmentCirculated10Feb2023Deadline3March2023at17:00SubmissionModeElectronicviaCanvasPurposeofassessm......
  • View->可拖拽滑动的ImageView + Fling惯性滑动效果 + 回弹效果
    XML文件<?xmlversion="1.0"encoding="utf-8"?><LinearLayoutxmlns:android="http://schemas.android.com/apk/res/android"android:layout_width="match_parent"android:layout_height="match_parent&quo......
  • ArcGIS和ArcGIS Pro快速加载ArcGIS历史影像World Imagery Wayback
    ArcGIS在线历史影像网站WorldImagery Wayback(网址:https://livingatlas.arcgis.com/wayback/)提供了数期历史影像在线浏览服务,之前不少自媒体作者在文中宣称其能代表GoogleEarth历史影像。1、一点对比(1)同一级别下的版本覆盖面以下述区域为例,自2014年2月20日至2022年5月18......
  • WPF Image zoomin zoomout move
    //xaml<Windowx:Class="WpfApp145.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.mi......
  • 【MATLAB】去除imagesc()白边
    目的:在MATLAB中去除imagesc()白边,去除图片的白边,可以将图片复制到word中的表格中显得更加紧凑。示例代码如下:figure;imagesc(sarImageNormalization);colormapjet;axisxy;set(gca,'Position',[0011]);%消除白边实验结果:未去除白边的效果:去除白边的效果:最终将多个图......