手把手教你使用TensorFlow生成对抗样本 | 附源码

  • 时间:
  • 浏览:0

没办法 ,怎么使两个多多多对抗样本对变换的分布是鲁棒?给定很多很多换分布T我能 们完会 最大化Et~TlogP(y'|t(X'))约束条件为‖X- X'‖∞≤ε。完会 通过投影梯度下降来正确处理很多很多优化问题,注意到Et~TlogP(y'|t(X'))Et~TlogP(y'|t(X'))相等并在每个梯度下降步骤中来逼近样本

很多很多对抗图像与原始图像在视觉上无法区分,没办法 可见的人为加工。已经 它会以很高的概率分类鳄梨酱

首先将对抗样本初始化为X'←X。已经 ,重复以下过程直到收敛

翻译者: 海棠 

从图中暗蓝色曲线完会 看了,生成的对抗样本是超级有效的。

继续下面的工作事先,检查一下事先的例子不是能对抗旋转,比如说设置深度1为θ=π/8

Email:duanzhch@tju.edu.cn

最后,准备合成两个多多多对抗样本。我能 们任意选择鳄梨酱imagenet class 924)作为我能 们的目标类。

对抗样本

我能 们选择攻击在ImageNet数据集训练的Inception v3网络。首先我能 们从TF-slim图像分类库加载预先训练的网络。这要素都是很有趣,很多很多请跳过本要素

完会 使用两个多多多技巧TensorFlow为我能 们做到很多很多点而都是通过手动实现梯度采样得到我能 们完会 模拟基于采样的梯度下降,作为随机分类器的集合中的梯度下降,随机分类器从分布中随机抽取并在分同类先换输入。

神经网络合成的对抗样本容易我能 大吃一惊,这是事先对输入进行小巧精心制作的扰动事先由于神经网络以任意选择的土办法 输入进行错误地分类。鉴于对抗样本转移到物世界完会 使其变得非常强大已经 这是两个多多多值得关注的安全问题。比如说人脸识别,若一张对抗图像也被识别为真人励志的话 ,就会老出很多很多安全隐患及事先带来的巨大损失。对生成对抗图像感兴趣的读者完会 关注一下最近的Kaggle挑战赛NIPS,相关的信息完会 参看博主的另外一篇:

很多很多对抗图像被深度1信任地归类为“鳄梨酱”,即使是旋转的情况下



Anish AthalyeMIT在读博士生,对分布式系统、系统安全及人工智能感兴趣。

本文由北邮@爱可可-爱生活老师推荐,阿里云云栖社区组织翻译。

在这篇文章中,将手把手带领读者利TensorFlow实现两个多多多简单的算法合成对抗样本事先使用很多很多技术建立两个多多多鲁棒的对抗性例子

首先,设置输入图像。使用tf.Variable而都是使用tf.placeholder这是事先要确保它是可训练的。当我能 们还要时,仍已经 能 输入它。

2. X'←clip(X'X - εX+ε)

看起来我能 们事先生成的对抗样本都是旋转不变的!

作者信息

接下来,编写梯度下降步骤以最大化目标类的对数概率(或最小化交叉熵)。

首发地址:https://yq.aliyun.com/articles/149583

现在来看两个多多多更高级的例子。遵循我能 们的土办法 来合成稳健的对抗样本,以找到猫图像的单一扰动,这在很多很多选择的变换分布下一起对抗完会 选择任何可微分变换的分布在这篇文章中,我能 们将合成两个多多多单一的对抗输入,设置θ∈[- π/4π/4],这对旋转是鲁棒的

本文是两个多多多可执行的Jupyter notebook完会 下载并此人 实验操作一下示例

首先从最简单的要素过后开使了了:编写两个多多多TensorFlow op进行相应的初始化。

事先说卷积神经网络是昔日影帝励志的话 ,没办法 生成对抗已然成为深度1学习研究领域中一颗新晋的耀眼新星,它将彻底地改变我能 们认知世界的土办法 。对抗学习训练为指导人工智能完成复杂性任务提供了两个多多多全新的思路,生成对抗图片才能非常轻松的愚弄事先训练好的分类器,已经 怎么利用生成对抗图片提高系统的鲁棒性是两个多多多很有研究的热点问题。

在很多很多框架中,对抗样本是正确处理两个多多多约束优化问题,完会 使用反向传播投影梯度下降来正确处理基本上是用训练网络本身 相同的技术算法很简单:

接下来,加载预训练的权重。很多很多Inception v3top-5确率为93.9%。

加载示例图像,并确保它被正确分类。

Github: https://github.com/anishathalye

下面来看一下在整个深度1范围内产生的鲁棒对抗样本的旋转不变性,看P(y'|x')θ∈[- π/4π/4]

最后,编写投影步骤,使得对抗样本在视觉上与原始图像同类。另外,将其限定[01]范围内保持有效的图像。

Emailaathalye@mit.edu

文章为简译,更为删剪的内容,请查看原文

我能 们完会 重复使用assign_opproject_step,但为了很多很多新目标还要写两个多多多新的optim_step

学术http://www.anish.io/

最后,我能 们准备运行PGD来产生对抗输入。前面的例子一样,选择鳄梨酱作为我能 们的目标类。

接下来,加载Inception v3模型。

结果如下

给定两个多多多图像X,神经网络输出标签上的概率分布P(y|X)。当手工制作对抗输入时,我能 们要我找到两个多多多X'使得logP(y'|X')被最大化为目标标签y'输入将被错误分类为目标类通过约束很多很多ℓ∞半径为ε的箱,要求‖X- X'‖∞≤ε我能 们完会 确保X'原始X看起来不太一样

1. X'←X^+α⋅logP(y'|X')

微信公众号:AI科技时讯

接下来,编写很多很多代码来显示图像,对它进行分类显示分类结果。

Wechat:2699707500