diy小屋,CVPR 2019 | 图画紧缩重建也能抵挡对立样本,这是一种新的防卫战略,新凯美瑞

体育新闻 admin 2019-04-13 351 次浏览 0个评论
网站分享代码

这是微软亚洲研讨院主办的第三届 CVPR 共享会,假如你错过了这场干货满满的共享会,点击「阅览原文」观看录播视频。微软亚研也将圆桌论坛diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞整理了出来,读者可阅览:2019最值得等待的计算机视觉问题有哪些?

什么是敌对样本

敌对样本是指进犯者经过向实在样本中增加人眼不行见的噪声,导致深度学习模型发作猜测过错的样本,如下图所示给定一张熊猫的图画,进犯方给图片增加了细小的噪声打乱,尽管人眼是很难区别的,可是模型却以十分高的概率将其误分类为长臂猿。

上图为彼得老哥腿模 Ian Goodfellow 在 14 年展现的敌对样本,这种敌对样本是经过一种名为 FGSM 的算法得出。

一般来说,敌对进犯能够分为白盒进犯、黑阿拉伯语盒进犯、定向diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞进犯,以及通用进犯。其间白盒进犯是指进犯者能彻底访问到被进犯模型,也就是说进犯者在知道模型架构和参数的情况下制作能诈骗它的敌对样本。而黑盒进犯则标明进犯者只能调查到被进犯模型的diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞输入与输出,例如经过 API 进犯机器学习模型能够视为一个黑盒进犯,因为进犯者只能经过调查输入输出对来结构敌对样本。

殿上欢

近年来,人们现已提出了许多抵御敌对样本的办法。这些办法大致可分为两类。第一类是增强神经网络自身的鲁棒性。敌对练习是其间的一种典型办法,它将敌对样本放入练习数据中以从头练习网络。标签滑润将 one-hot 标签转换为软方针也归于此类。

第二类是各种预处理办法。例如 Song 等人(arXiv:1710.10766)提出的 PixelDefend,它能够亚特兰大在将敌对图画输入分diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞类器之前,将其转换为明晰的图画。类似地,也有研讨者(arXi云播搜v:1712.02976)将发觉不到的扰动视为噪声,并规划了高阶表征引导去噪杭州火球科技有限公司器(HG宽口光唇鱼D)diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞来消除这些噪声。HGD 在 NIPS 2017 哑铃练习办法敌对样本攻防比赛中取得第一名。

一般来说,后一种办法更有用,因为它们不需斑马斑马要从头练习神经网络。但是,在练习降噪器时,HGD 依然需求很多的敌对图画。因而,在敌对图画较少的情况下很难取得杰出的 HGD。PixelDefend 的首要思维是模仿图画空间的散布,当空间太大时,模仿成果会很差。

新的防护计划

从另一个方向而言,图画紧缩是一种低阶的图画改换使命。因为部分结构中相邻像素之间具有很强的相似性和相关性,因而图画紧缩能够在保存明显信息的一起削减图画的冗余信息。在此基础上,这篇论文的研讨者规划了 ComDefend,它运用图画紧缩来消除敌对扰动或打破敌对扰动的结构。ComDefend 的基本思维如图 1 所示:

图 1:抵御敌对样本的端到端图画紧缩模型首要思维。敌对图画和原始图画之间的扰动十分小,可是在图画分类模型的高层标明空间,扰动被扩大。研讨者运用 ComCNN 去除去除敌对性图画的冗余信息,再用 ResCNN 来重建明晰的图画,这样就按捺了敌对扰动的影响。

C张狂老奶奶omDefend 由两个 CNN 模块组成。第一个 CNN,称为紧缩 CNN(ComCNN),用于将输云胜锣鼓入图画转换为紧缩标明。详细是指将原始的 24 位像素紧缩为 12 位。从输入图画提取的紧缩标明能够保存满足的原始图画主体信息。第二个 CNN,称为重建 CNN(ResCNN),用于重建高质量的原始图画。ComCNN 和 ResCNN 终究组合成一个共同的端到端结构,并联合学习它们

图 2:ComDefend乳山气候 概览图。

ComCNN 用于保存原始图画的首要结构信息,RGB 三个通道的原始 24 位图被紧缩为 12 位图(每个通道分配 4 位)。ResCNN 担任重建明晰的原始图画,它会在紧缩标明上增加了高斯噪声,以进步重建质量,并进一步增强抵御敌对样本的才能。

咱们能够发现 ComDefend 是针对明晰图画进行训村上里沙练的,网络将学习明晰图画的散布,然后能够从敌对图画中重建明晰的图画。与 HGD 和 PixelDefend 比较,ComDefend 在练习阶段不需求敌对样本,因而降低了计算成本。别的,ComDefend 选用逐块的办法对图画处理,而不是直接对整幅图处理,这进步了处理功率。

综上所述,这篇论文首要有以下奉献:

论文:ComDefen生完孩子多久来月经d: An Efficient Image Compression Model to D居酒屋时刻停下来efend Adversarial Examples

深度神经网络(DNN)在敌对样本中简单受到影响。即在明晰false图画中增加难以发觉的扰动可能会诈骗练习好的深度神经网络。在本论文中,咱们提出了一种端到端的图画紧缩模型 ComDe高照松fend 刘爱舟微博来抵御敌对样本。该模型由紧缩卷积神经网络(ComCNN)和重建卷积神经网络(ResCNN)组成。

ComCNN 用于维护原始图画的结构信息并去除敌对扰动,ResCNN 用于重建高质量的原始图画。换句话说,ComDefend 能够将敌对样本转换为「洁净」的图画,然后将其输入练习好的分类器。咱们的办法是一个预处理模块,并不会在整个进程中修正分类器的结构。因而,它能够与其他特定模型的抵御办法相结合,共同进步分类器的鲁棒性。在 MNIST、CIFAR10 和 ImageNet 上进行的一系列试验标明,咱们所提出的办法优于现在最先进的抵御办法,而且共同有用地维护分类器免受敌对进犯。

端到端图画紧缩模型

在曾经的相关研讨中,咱们能够将难以发觉的扰动视为具有特定结构的噪声。换句话说,扰动不会影响原始图画的结构信息,这种难以发觉的扰动能够被认为是图画的冗余信息。从这个视点来看,咱们能够运用图画紧缩模型中的图画冗余信息,从而依靠这些信息的特征抵diy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞御敌对样本。

为了消除不易发觉的扰动或打破扰动的特定结构,咱们提出了端到端图画紧缩模型。如图 2 所示,图画紧缩模型包括紧缩和重建进程。

在紧缩进程中,ComCNN 提取图画结构信息,并删去图画的冗余信息。在重建进程中,ResCNN 重建输入图画而不发生敌对扰动。详细而言,ComCNN 将 24 位像素图画紧缩为 12 位,即 12 位像素图画去除原始图画的冗余信息。随后,ResCNN 运用 12 位像素图画来重建原始图画。

在整个进程中,咱们期望从原始安全图画中提取的 12 位像素图画尽可能与敌对样本相同。因而,咱们能够将敌对样本转换为安全的图画。如图 3 所示,咱们能够看到增加随机高斯噪声有助于进步紧缩模型的功能。

图 3:ComDefendiy小屋,CVPR 2019 | 图画紧缩重建也能抵御敌对样本,这是一种新的防卫战略,新凯美瑞d 中是否增加高斯噪声的成果比较。

在每个子图中,顶部图画是原始图画,中心图画是紧缩的 12 位图,底部是重建图画。(a)ComDefend 经过非二值化的 12 位图重建图画。(b) 在没有高斯噪声的情况下,ComDefend 经过二值化的 12 位图重建图画。(c) 运用高斯噪声,ComDefend 经过二值化 12 位图重建图岱嵩村像。

咱们看到 (c) 中的重建质量与 (a) 中的重建质量相同,这意味着非二值化映射的增量信息实际上是噪声。因而,当在二值化映射上增加高斯噪声时,能够重建出更好的图画。

4. 试验成果和剖析

图 4:ResNet-50 对敌对样本的分类准确度,这四种进犯会分别在测验、练习和测验阶段进行防护。

Cifar-10 图画数据集的比较成果如表 4 所示。

如表 6 所示,该办法进步了 FGSM、DeepFool 和 CW 进犯办法的防护功能。

Pixel IFA 共享会
声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。