Robust Adversarial Examples_魯棒的對抗樣本


https://blog.openai.com/robust-adversarial-inputs/?spm=a2c4e.11153940.blogcont149583.11.4ab360c0mXrtX7

原文中包含視頻例子。

我們創建的圖像可以在從不同的尺度和視角觀察時可靠地欺騙神經網絡分類器。 這挑戰了上周聲稱自動駕駛汽車難以惡意欺騙,因為它們從多個尺度,角度,視角等捕獲圖像。

這張印刷在標准彩色打印機上的小貓照片讓分類器誤以為它是一台“顯示器”或“台式電腦”,無論它是如何縮放或旋轉的。 我們期望進一步的參數調整也會刪除任何人類可見的偽像。

參照論文1.Synthesizing Robust Adversarial Examples

開箱即用的對抗樣本在圖像轉換下失敗。 下面,我們展示了相同的貓圖片,由ImageNet上訓練的Inception v3錯誤地歸類為台式計算機。 縮小至1.002會導致正確標簽“tabby cat”虎斑貓的分類概率覆蓋對抗性標簽“desktop computer”台式計算機。

 

 

然而,我們懷疑積極的努力可以產生一個強大的對抗性的例子,因為已經證明對抗性的例子轉移到物理世界。(參照論文4.Adversarial examples in the physical world

尺度不變的對抗樣本

可以使用稱為投影梯度下降(projected gradient descent )的優化方法來創建對抗性示例,以找到任意欺騙分類器的圖像的小擾動。

我們優化了大量隨機分類器,而不是優化用於從單個視點查找對抗性的輸入,這些隨機分類器在對輸入進行分類之前隨機重新縮放輸入。 針對這樣的集合進行優化會產生強大的對稱示例,這些示例是規模不變的。

 

即使我們僅修改與貓相對應的像素,我們也可以創建一個在所有所需尺度上同時具有對抗性的單個擾動圖像。

轉換不變的對抗性例子

通過向我們的訓練擾動添加隨機旋轉,平移,縮放,噪聲和平均移位,相同的技術產生單個輸入,在任何這些變換下仍然是對抗的。

 

一個變換不變的對抗樣本。 請注意,它明顯比其規模不變的變體更加穩定。 這可能是基本的:直覺上可能的是,小的對抗性擾動更難找到一個不容改變樣本的更多變換。


我們的變換在測試時隨機抽樣,證明我們的例子對整個變換分布是不變的。


注意!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系我们删除。



 
粤ICP备14056181号  © 2014-2021 ITdaan.com