机器学习干货 | 原来的
》》》源码及论文pdf位于文末》》》
资料来源:Su 和 Vargas 等人。 2018年
改变一个像素,AI就会把青蛙当手枪?
相信很多人都已经熟悉了图像识别技术:
添加噪声后,图中公交车被识别为鸵鸟
可见,通常的实现方法是在图像中添加大量噪声,以误导神经网络。
如图所示,受到攻击的AI会将危险设备视为日常可见的交通工具。 这种攻击的危险性可想而知。
噪声图
但即使添加了大量的噪声,伪造的图像仍然可能被暴露。
如果仅删除一个像素,则可能无法检测到这种变化。
然而像素盒子游戏源码,仅删除一个像素可能会导致大多数完整的图像识别模型失败。 这不可能吗?
仅改变一个像素的猫
有读者可能会批评:“这太可笑了。单像素攻击肯定只能针对这些基础、简单的模型。”
任何具有一定鲁棒性的模型都不会因为单个像素而改变判断结果! ”
让我们看一些例子:
下图是对VGG模型的攻击结果。
VGG模型在2014年ILSVRC竞赛中排名第二,仅次于最初的GoogleNet。
因此,VGG被公认为是一个具有一定稳定性和实用性的模型。
但正如你在图片中看到的:
通过仅删除一个像素,VGG 将鹿和船误认为是客机,将鸟类误认为是青蛙!
这并不是一个孤立的案例:
从图中可以看出,很多知名的图像识别模型都成为了单像素攻击的受害者!
文末附上实现单像素攻击的源码。 请您自己拿走。
这是怎么做到的? 现代图像识别模型仍然安全吗?
下面笔者给大家介绍一下Su & Vargas等人的研究结果。 2018年:
单像素攻击是如何进行的?
原则
事实上,这一切仍然基于生成对抗网络(GAN)的思想。
我们知道GAN包括
两人在不断的对抗训练中像素盒子游戏源码,将会变得越来越强大。
只是这一次,
由于确定器不会改进,
(我们也不希望它得到改善)
苏和巴尔加斯等人。 将训练生成器的过程视为寻找全局最优的过程:
神经网络模型三维结构展示
举个反例:
对于这张猫照片,原始判定器会给它一个很高的置信度,比如90%
生成器的目的是找到改变像素的位置,使得置信度尽可能降低。
最终,其他类别的置信度将超过它:
猫被误认为是狗(78.2% 置信度)
最后我们来看看他们的实验结果:
可以看出,对于大多数图像识别模型来说,为了实现有目的的攻击
例如,明确生活必需品为设备
改变三个像素成功率为40.57%
如果你只是想让模型失败
改变极少量的像素(5 pix)就可以达到86.34%的成功率
可以说是一个非常可怕的推论。
↓↓↓附件分布请看这里↓↓↓
请先点击关注; 然后发送私信“onepix”
您可以轻松分发本文的pdf文件及相关程序源码
相关干货:
AI“速读卷”居然可以看穿墙壁! (多张图片,附pdf)
《速读论文》让AI保存你手机的夜间摄影效果(附源码和pdf)
重要信息 | 一篇文章教您如何使用 Python 轻松可视化任何函数(带代码)
重要信息 | 深度回顾机器学习五种关键算法!一个比一个深刻
机器学习干文章致力于原创且易于理解的技术原理和细节文章。
我努力学习,
所以你不必这样做!
发表评论