[paper]ADVERSARIAL MACHINE LEARNING AT SCALE
发布时间
阅读量:
阅读量
本文的贡献包括:
(1)如何将对抗训练扩展到大型模型和数据集;
(2)对抗训练赋予单步攻击算法鲁棒性的原理;
(3)发现多步攻击算法的可移植性相比单步攻击算法要差一些,因此单步攻击算法最适合于发动黑盒攻击。
(4)对于“标签泄漏”效应的解决方法。
“标签泄漏”效应即经过对抗训练的模型在对抗样本上的性能要比在原始样本上更好,因为对抗样本生成过程中使用真实标签,并且模型可以学习对抗样本生成过程中的规律性。
- 在结构一致的前提下(即参数数量固定),参数规模越大则网络对抗攻击具备更好的防御性能。
- 不同类别下的抗转让样本在网络间呈现出不同的转移特性,在接受抗转让训练后,在不同网络间的转移效果较差。
- 基于单步策略构建的数据生成机制所创造的人工干扰实例较之传统无目标攻击方式而言,在实际应用中的破坏效能更为显著。这是因为经过抗转让优化后的网络能够识别生成干扰信号时所遵循的一些内在规律性。
攻击算法:
- FGSM
- ILCM
- BIM
- One-step target class methods
对抗训练算法:
Loss function :
L(X|y) 表示真实标签为 y 的单个图像的损失;m代表在每个小批量训练过程中所包含的图像总数;k代表在每次小批量训练中生成对抗样本的数量;λ用于调节对抗样本对损失函数的影响程度。
实验结果:
全部评论 (0)
还没有任何评论哟~