对抗攻击
作者:互联网
motivation:当构建为了欺骗模型的输入时,模型是否健壮。比如垃圾邮件分类、恶意软件检测等。
- 无目标攻击:比如在图像分类中,只要让模型判别错误即可。
- 有目标攻击:想要模型将A判断为B(即B是目标)。
攻击方法
假设图片的正确类别为\(\hat{y}\),我们输入\(x\)(即对原始图片做某些改变),模型输出为\(y\)。特别注意,我们已经知道了模型参数,是为了寻找\(x\):
对于无目标攻击,我们希望\(y\)与\(\hat{y}\)差距越大越好,或者说交叉熵越大越好,所以令损失函数为\(L(x)=-e(y,\hat{y})\)
对于有目标攻击,假设目标类别为\(y_{target}\),我们会希望\(y\)与\(\hat{y}\)差距较大的同时与\(y_{target}\)差距较小,则损失函数为\(L(x)=-e(y,\hat{y})+e(y,y_{target})\)
假设原始图片为\(x^0\)(展开为向量),我们将每个维度都加一个变化量\(\bigtriangleup x_i\)(即\(x=x^0+ \bigtriangleup x\)),但是我们希望\(x\)与\(x^0\)的变化不要被人眼观测到,即设置阈值\(\varepsilon\),使得\(d(x,x^0)<\varepsilon\),\(d(x,x^0\)的计算可以使用L-2范数与L-infinity,如下图:
因此,我们的优化过程即:\(x^*=\arg \min_{d(x,x^0)< \varepsilon}L(x)\)
以上,我们是在知道模型参数的条件下进行的攻击,称为白盒攻击。如果不知道模型参数,则称为黑盒攻击,攻击方法可以是,如果有训练资料,自己train模型,如果没有也有一些其他方法......知道了攻击,如何进行防御呢?除了使用filter等,一个很好的方法就是数据增强(Data Augmentation)。
标签:target,攻击,模型,目标,hat,我们,对抗 来源: https://www.cnblogs.com/wangxy323/p/15784716.html