对抗样本在自动驾驶领域应用现状
对抗样本攻击与防御机制的性能评估研究
对抗样本攻击与防御机制的性能评估研究引言随着深度学习在各个领域的广泛应用,对抗样本攻击与防御机制的研究越来越受到关注。
对抗样本攻击是指通过对原始输入样本进行微小的、人眼无法察觉的修改,使得深度学习模型产生错误的输出结果。
这种攻击对图像分类、语音识别、自动驾驶等应用具有重大威胁。
一、对抗样本攻击的原理与方法1. 原理对抗样本攻击的基本原理是通过修改输入样本,以迷惑深度学习模型,使其产生错误的输出。
这种攻击利用了深度学习模型对输入样本的隐蔽漏洞,通过微小扰动就能够改变模型的预测结果。
2. 方法对抗样本攻击的方法主要包括两种:非定向攻击和定向攻击。
非定向攻击是指攻击者没有特定的目标类别,只关心使得模型产生错误分类。
而定向攻击则是指攻击者有明确的目标类别,希望将输入样本误分类为目标类别。
二、对抗样本攻击的影响与应用领域1. 影响对抗样本攻击对深度学习模型的性能和可靠性造成了巨大的威胁。
攻击者可以利用对抗样本攻击来欺骗自动驾驶系统,导致交通事故;也可以通过攻击语音识别系统来窃听用户的个人信息。
对抗样本攻击还可能导致深度学习模型的训练过程失败,从而降低模型的泛化能力。
2. 应用领域对抗样本攻击的研究对于保障计算机视觉、自然语言处理和语音识别等领域的应用安全具有重要意义。
该研究也可以应用于信息安全领域,用于防御网络入侵和恶意代码攻击。
三、对抗样本防御机制的方法与评估指标1. 方法对抗样本防御机制的常用方法包括:对抗样本训练、模型鲁棒性增强、检测与过滤、隐私保护等。
对抗样本训练是通过在训练集中添加对抗样本来提高模型的鲁棒性;模型鲁棒性增强是通过修改模型架构或参数来提高模型对对抗样本的抵抗能力;检测与过滤是指通过检测输入样本是否为对抗样本并过滤它们;隐私保护是指对模型输出进行加密保护,以减少攻击者获取模型信息的可能性。
2. 评估指标对抗样本防御机制的性能评估需要考虑多个指标:攻击成功率、攻击成功速度、攻击样本难度、防御成功率等。
自动驾驶技术的现状、挑战和未来展望
自动驾驶技术的现状、挑战和未来展望
自动驾驶技术是指通过计算机控制车辆完成行驶任务,不需要人类驾驶员的干预。
随着人工智能和计算机视觉等技术的不断发展,自动驾驶技术也在快速发展。
下面是自动驾驶技术的现状、挑战和未来展望:
现状
目前,自动驾驶技术已经逐渐普及到一些高端汽车品牌和一些特定的场景,例如高速公路、物流园区等。
目前市面上较为成熟的自动驾驶技术主要有基于雷达、激光雷达、摄像头等传感器的传统视觉技术和基于人工智能的深度学习技术。
挑战
自动驾驶技术的发展还面临着许多挑战,其中包括:
(1)安全性问题:自动驾驶技术的安全性是自动驾驶技术发展的关键因素之一,需要保证自动驾驶车辆在各种复杂的场景下都能够正常行驶,并且能够在紧急情况下保证人员的安全。
(2)技术成本问题:自动驾驶技术需要大量的传感器、计算机和算法支持,技术成本非常高,需要降低技术成本才能普及。
(3)法律和道德问题:自动驾驶技术涉及到道德、法律和伦理等问题,例如自动驾驶车辆在紧急情况下如何做出决策,是否应该牺牲车内人员来保证行人的安全等。
未来展望
未来,自动驾驶技术有望在以下方面得到发展:
(1)更普及的应用场景:自动驾驶技术不仅限于高速公路、物流园区等特定场景,未来还有望应用于城市交通和公共交通等领域。
(2)更高的安全性:自动驾驶技术需要进一步提高安全性,防止出现交通事故和其他安全问题。
(3)更低的成本:自动驾驶技术需要降低成本,才能让更多的车辆采用自动驾驶技术。
对抗样本攻击方法及防御
对抗样本攻击方法及防御摘要:对抗样本攻击是一种针对机器学习模型的攻击方法,通过对输入样本进行微小的修改,就能够欺骗机器学习模型,使其产生错误的输出结果。
本文将介绍对抗样本攻击的几种常见方法,并探讨一些防御机制。
1. 引言随着机器学习在各个领域的广泛应用,对抗样本攻击也逐渐成为一个热门研究领域。
通过对输入样本进行微小的修改,就能够欺骗机器学习模型。
这种攻击方式可能导致严重后果,比如在自动驾驶系统中引发交通事故。
因此,研究如何防御对抗样本攻击具有重要意义。
2. 对抗样本生成方法2.1 增量式梯度方法增量式梯度方法是最常见的生成对抗样本的方式之一。
该方法通过计算输入数据相应目标函数关于输入数据梯度,并将其用于修改输入数据。
这种方法可以产生高质量、不易被检测到的对抗样本。
2.2 基于优化算法的方法基于优化算法的方法通过对输入数据进行优化,使其满足特定的约束条件,从而生成对抗样本。
这些约束条件可以是模型输出的标签,也可以是其他特定要求。
这种方法可以生成具有较高攻击成功率的对抗样本。
2.3 基于生成对抗网络(GAN)的方法生成对抗网络(GAN)是一种由生成器和判别器组成的模型。
通过训练这两个模型,可以生成逼真的样本数据。
基于GAN的方法将输入数据作为判别器网络输入,并将其输出作为优化目标函数,从而生成对抗样本。
3. 对抗样本攻击防御3.1 基于防御性训练的方法防御性训练是一种通过在训练过程中引入扰动来提高模型鲁棒性的方法。
在进行训练时,将原始数据与扰动数据混合,并根据混合后数据进行模型更新。
这种方法可以提高模型对于对抗样本攻击的鲁棒性。
3.2 基于检测和过滤机制检测和过滤机制是一种通过检测输入数据是否为对抗样本,并将其过滤掉来防御攻击的方式。
这些机制可以通过监测模型输出的置信度、检测输入数据的统计特征等方式来实现。
这种方法可以有效地减少对抗样本的影响。
3.3 基于模型解释的方法模型解释是一种通过分析模型对输入数据的响应方式来检测对抗样本攻击的方法。
对抗样本的检测及防御方法研究现状综述
对抗样本的检测及防御方法研究现状综述摘要:随着机器学习和深度学习的快速发展,对抗样本攻击在图像分类、语音识别和自然语言处理等领域中引起了广泛关注。
对抗样本是一种经过有意设计的样本,其目的是使机器学习模型产生错误的预测结果。
本文对目前对抗样本的检测和防御方法进行了综述,并分析了各种方法的优缺点。
1. 引言对抗样本是对机器学习模型的一种攻击,通过对输入样本进行微小的扰动,能够使模型产生误判。
对抗样本的存在给机器学习的应用带来了潜在的风险,如自动驾驶系统的误导、智能语音助手的误识别等。
因此,研究对抗样本的检测和防御方法具有重要的理论和实际意义。
2. 对抗样本的生成方法对抗样本的生成可以通过多种方式实现。
最常见的生成方法包括基于扰动的方法、梯度优化方法和生成对抗网络(GANs)方法。
2.1 基于扰动的方法基于扰动的方法是最早的对抗样本生成方法之一,其原理是在原始样本中添加微小的扰动,使得机器学习模型对扰动样本的预测结果发生改变。
这种方法的优点是简单易实现,但扰动必须满足一定约束,否则会导致人眼无法察觉的变化。
2.2 梯度优化方法梯度优化方法通过对输入样本的梯度进行优化,找到最小化目标函数的扰动值。
这种方法可以产生更具有迷惑性的对抗样本,但计算复杂度较高。
2.3 生成对抗网络方法生成对抗网络是一种通过博弈的方式生成数据的方法,其中包含生成器和判别器两个网络。
生成器通过学习真实数据的分布生成样本,而判别器则试图区分生成样本和真实样本。
通过交替训练,生成对抗网络可以生成逼真的对抗样本。
3. 对抗样本的检测方法对抗样本的检测方法旨在识别输入样本是否为对抗样本。
常见的检测方法包括基于规则的方法、基于特征的方法和基于模型的方法。
3.1 基于规则的方法基于规则的方法通过设定一系列规则来检测对抗样本,如检测样本中的扰动大小、扰动分布等。
这种方法的优点是简单易实现,但对于复杂的对抗样本可能无法有效检测。
3.2 基于特征的方法基于特征的方法通过提取输入样本的特征,并将其与训练数据的特征进行比较,从而判断是否为对抗样本。
自动驾驶技术发展现状及应用领域的前景分析
自动驾驶技术发展现状及应用领域的前景分析自动驾驶技术一直是科技领域的热门话题,随着科技的不断发展和社会的不断进步,自动驾驶技术得到了越来越广泛的关注。
最近几年,自动驾驶技术迎来了新一轮的发展浪潮,成为全球各大科技公司瞩目的焦点。
本文将从自动驾驶技术的现状,发展趋势,以及应用领域的前景等方面进行探讨。
自动驾驶技术的现状自动驾驶技术是一个综合性很强的概念,涉及到多个领域的技术和知识,例如计算机视觉、机器学习、传感器技术、制造工艺等。
目前,自动驾驶技术仍处于发展初期,并且存在许多问题和挑战。
首先,自动驾驶车辆需要依靠大量的传感器进行环境感知,然而传感器在恶劣环境下常常会出现误判的情况,这极大地影响了自动驾驶的安全性。
其次,自动驾驶技术需要依靠强大的计算能力和大规模的数据支持,这对硬件和软件的要求非常高,也面临着成本高昂的问题。
最后,在法律法规和道德伦理方面,自动驾驶技术还存在诸多争议。
自动驾驶技术的发展趋势尽管自动驾驶技术仍然存在许多问题和挑战,但是它在未来的发展前景是非常广阔的。
在未来,自动驾驶技术将会取代传统的驾驶模式,成为道路交通的主流形式。
随着技术的不断进步和成本的不断降低,自动驾驶车辆将会变得更加安全、便捷和高效。
同时,随着自动驾驶技术的发展,将会出现许多新的商业模式和产业链,如无人配送、共享出行等,将会深刻地改变人们的生活方式。
自动驾驶技术的应用领域自动驾驶技术在未来将会广泛应用于各个领域,尤其是道路交通领域。
在道路交通领域中,自动驾驶技术将会改变人们的出行方式,大大简化人们的出行流程,缓解城市交通拥堵问题。
除此之外,自动驾驶技术还将应用于物流业、运输业、农业等领域,为这些领域带来更加高效和便捷的服务。
总结自动驾驶技术是一个非常具有前景的技术领域,尽管它在当前仍面临着许多问题和挑战,但随着技术的不断发展和成本的不断降低,自动驾驶技术将会成为未来交通出行的主流形式。
同时,自动驾驶技术将进一步强化物流、运输、农业等领域的效率和便捷性,为人们的生活带来更多便利和惠利。
对抗样本的检测及防御方法研究现状综述
对抗样本的检测及防御方法研究现状综述在人工智能领域,深度学习被广泛应用于图像分类、目标检测和语音识别等任务中。
然而,研究表明深度学习模型对抗样本存在着天生的脆弱性,这引发了对抗样本的检测和防御方法的研究需求。
本文将综述对抗样本检测及防御方法的现状,并探讨未来的研究方向。
一、对抗样本及其生成方法对抗样本是对深度学习模型产生误导性扰动后的输入图像。
对抗样本的生成方法主要包括基于优化的方法和基于生成对抗网络(GAN)的方法。
基于优化的方法通过求解优化问题来生成对抗样本;而基于GAN的方法则通过训练生成器和判别器网络来生成对抗样本。
二、对抗样本的检测方法对抗样本的检测方法可以分为基于特征提取和基于模型响应的方法。
基于特征提取的方法通过提取输入图像的特征,利用一些统计学和机器学习方法来检测对抗样本。
而基于模型响应的方法则通过分析模型对输入图像的响应,检测异常行为并判断是否存在对抗样本。
三、对抗样本的防御方法对对抗样本的防御方法主要包括基于重训练的方法和基于鲁棒优化的方法。
基于重训练的方法通过对现有的深度学习模型进行重新训练,并引入对抗样本来增强模型的鲁棒性。
而基于鲁棒优化的方法则通过在目标函数中引入鲁棒性约束,使得生成的对抗样本更难以改变模型的输出结果。
四、现有方法的局限性尽管已经提出了各种各样的对抗样本检测和防御方法,然而这些方法在实际应用中仍然存在一定的局限性。
首先,一些检测方法对抗样本的检测准确率较低,容易被对抗样本欺骗。
其次,一些防御方法在增强模型鲁棒性的同时也导致了性能的下降。
此外,对抗样本的生成方法也在不断演化,需要对现有方法进行不断的更新和改进。
五、未来研究方向在对抗样本的检测与防御方法研究方面,有以下几个未来的研究方向值得关注。
首先,研究者需要进一步提高对抗样本的检测准确率,以降低对抗样本对深度学习模型的威胁。
其次,需要开发新的防御方法,使得防御方法能够在增强模型鲁棒性的同时不降低模型性能。
对抗样本防御技术研究与应用
对抗样本防御技术研究与应用随着机器学习与深度学习技术的不断发展,越来越多的企业和机构开始采用这些技术进行自动化决策、风险评估、安全检测等工作。
但是,这些技术也带来了一些问题,比如对抗样本攻击,它们可以导致机器学习模型的错误分类,进而引发实际场景中的安全或隐私问题。
针对这个问题,学者们提出了许多对抗样本防御技术。
一、什么是对抗样本?在深入探讨对抗样本防御技术之前,我们需要先了解一下对抗样本是什么。
对抗样本是指人为地对样本数据进行修改,使其欺骗机器学习模型,导致模型的错误分类。
这样的攻击可以隐蔽性地影响安全性和隐私保护。
对于深度神经网络,它们常常会在对抗样本的攻击下失效,这主要是由于网络的抗差性非常低。
事实上,对抗样本的攻击已经不仅仅是一个理论问题,而是在实际场景中非常具有实践意义。
二、对抗样本防御技术目前,学者们提出了许多对抗样本防御技术,下面着重介绍一些比较有代表性的技术。
1.基于对抗训练的方法对抗训练(Adversarial Training),在训练时,人为地产生对抗样本与原始样本,然后将它们混合在一起以进行模型的训练。
这样的方法被证明是很有效的,因为它可以增强深度神经网络的抗扰动能力。
2.基于随机性的防御技术基于随机性的防御技术包括Dropout、DropConnect等。
这些方法在模型中增加了一定的随机性,使得攻击者很难在生成对抗样本时找到恰当的方向。
3.基于反向传播法的对抗性训练该技术是在对抗样本攻击下,从模型输出开始,反向传播来修复抗性;在反向传播时,使用两个loss,将抗性误差和原误差加权求和,这样可以将抗性和原始分类任务共同优化。
4.基于梯度的方法基于梯度的方法对神经网络的输入梯度进行限制,以减轻攻击者所制造的想象空间。
三、对抗样本防御技术的应用对抗样本防御技术的应用逐渐展现出令人瞩目的成果。
首先,对抗样本防御技术对于安全和隐私问题的解决具有很大的潜力。
例如,在自动驾驶汽车和智能家居设备等具有安全保障需求的领域中,我们可以更安全地运用深度学习技术。
人工智能安全解析对抗样本在深度学习中的挑战与防御
人工智能安全解析对抗样本在深度学习中的挑战与防御随着人工智能技术的快速发展和广泛应用,我们迎来了一个全新的智能时代。
然而,随着人工智能系统的普及,也出现了安全性的挑战。
其中,对抗样本攻击是人工智能安全领域一个重要的研究方向。
本文将探讨对抗样本攻击在深度学习中的挑战,并介绍一些常见的防御方法。
一、对抗样本攻击的定义和原理对抗样本攻击是指通过对输入样本进行最小干扰扰动,从而使得深度学习系统产生错误的输出结果。
其本质是通过扰动输入样本,使得深度学习模型无法正确识别输入的样本。
对抗样本攻击具有以下特点:1. 干扰几乎不可察觉:对抗样本的扰动必须非常小,以至于人眼无法察觉。
而这种微小的扰动却足以影响深度学习模型的预测结果。
2. 基于模型黑盒:对抗样本攻击可以仅仅通过观察模型的输出结果进行攻击,而无需获得模型的具体参数、结构以及训练数据。
3. 可迁移性:对抗样本攻击的扰动是可迁移的,即在一个模型上生成的对抗样本可以欺骗其他模型。
二、对抗样本攻击对深度学习的挑战对抗样本攻击给深度学习系统带来了严重的安全威胁,主要包括以下挑战:1. 目标误导:对抗样本攻击可以将深度学习模型的输出误导到攻击者指定的目标类别。
这种攻击方式对于一些关键的应用场景,比如自动驾驶系统和人脸识别系统等,可能带来严重的后果。
2. 泛化能力:对抗样本攻击的成功率不仅仅取决于攻击样本与模型的距离,还与攻击样本的泛化能力有关。
通过对抗样本攻击,攻击者可以构造具有良好泛化能力的对抗样本,从而使得攻击可以适用于未见过的样本。
3. 模型不可解释性:深度学习模型通常是黑盒的,这意味着我们无法准确理解模型是如何作出决策的。
当模型遭受对抗样本攻击时,我们很难判断攻击是否发生以及对抗样本是如何干扰模型的。
三、对抗样本攻击的防御方法为了提高深度学习模型的鲁棒性和安全性,研究者们提出了各种对抗样本攻击的防御方法。
以下是一些常见的防御方法:1. 改进模型鲁棒性:通过改进深度学习模型的设计,增强其鲁棒性,使其能够对抗对抗样本攻击。
《2024年可添加量不受限的对抗样本》范文
《可添加量不受限的对抗样本》篇一一、引言随着深度学习技术的快速发展,人工智能模型在各个领域的应用日益广泛。
然而,随之而来的是对抗样本(Adversarial Samples)的挑战。
对抗样本是指通过添加微小的扰动使得模型输出错误的样本,是近年来人工智能领域研究的重要问题之一。
本文将就“可添加量不受限的对抗样本”进行深入探讨,从理论到实践,分析其特点、产生原因及应对策略。
二、对抗样本的概述对抗样本是深度学习模型的一个严重问题,它可以通过添加微小的扰动使得模型输出错误的预测结果。
可添加量不受限的对抗样本指的是,对原始样本添加任意大小的扰动后,仍然能产生使模型错误预测的效果。
这种扰动往往难以被察觉,但会对模型的性能产生严重影响。
三、对抗样本的特点及产生原因1. 特点:对抗样本具有微小扰动性、欺骗性和普遍性等特点。
微小扰动性指的是对原始样本添加的扰动非常小,难以被察觉;欺骗性指的是这种扰动能使模型产生错误的预测;普遍性则意味着这种问题在各种深度学习模型中普遍存在。
2. 产生原因:对抗样本的产生主要源于深度学习模型的线性性和局部平滑性。
在模型的决策边界附近,即使微小的扰动也可能导致模型产生错误的预测。
此外,模型的过拟合、数据集的偏差等因素也会加剧对抗样本的问题。
四、对抗样本的应对策略1. 增强模型的鲁棒性:通过改进模型结构、采用正则化技术、增加数据集的多样性等方法,提高模型的鲁棒性,减少对抗样本的影响。
2. 防御技术:针对对抗样本的攻击方式,开发出相应的防御技术,如防御蒸馏、输入预处理等。
这些技术可以在一定程度上抵御对抗样本的攻击,提高模型的稳定性。
3. 攻击检测与识别:通过设计攻击检测与识别机制,及时发现并处理对抗样本攻击,保障模型的正常运行。
五、实践应用中的挑战与展望尽管已经提出了一些应对策略来处理可添加量不受限的对抗样本问题,但在实践应用中仍面临诸多挑战。
首先,如何准确地评估模型的鲁棒性是一个关键问题。
对抗样本攻击与防御技术保护AI模型的安全性
对抗样本攻击与防御技术保护AI模型的安全性近年来,随着人工智能(Artificial Intelligence, AI)技术的迅猛发展,越来越多的企业和组织开始将AI应用于各种场景,如图像识别、语音识别、自动驾驶等。
然而,随之而来的是AI模型面临的安全风险。
对抗样本攻击(Adversarial Example Attacks)作为其中之一,给AI模型的安全性带来了巨大的挑战。
本文将深入探讨对抗样本攻击及其防御技术,以保护AI模型的安全性。
一、对抗样本攻击的概念对抗样本攻击是指通过故意修改输入数据,使得AI模型产生误判或误识别的现象。
这种攻击利用了AI模型对输入数据的强依赖性,通过微小的扰动产生错误的输出。
对抗样本攻击可分为白盒攻击和黑盒攻击两种形式。
白盒攻击是指攻击者可以完全了解和访问AI模型的内部结构和参数。
在这种情况下,攻击者可以利用模型的缺陷,生成对抗样本,并对模型进行针对性的攻击。
黑盒攻击则是指攻击者只能通过输入输出接口与AI模型进行交互,无法获取到模型的内部信息。
尽管攻击者无法完全了解模型的具体结构,但他们可以通过采样和查询来生成对抗样本,从而实施攻击。
二、对抗样本攻击的威胁对抗样本攻击给AI模型的安全性带来了一系列威胁。
首先,对抗样本攻击可以欺骗AI模型,使其产生错误的输出。
例如,在自动驾驶领域,攻击者可以通过修改交通标志的颜色或形状,迷惑汽车的识别系统,导致汽车产生错误的判断,造成交通事故。
其次,对抗样本攻击可以破坏AI模型的稳定性和鲁棒性。
由于AI模型对对抗样本非常敏感,即使只进行微小的扰动,也会导致输出结果的巨大变化。
这使得模型容易受到任意输入数据的扰动,进而影响模型的稳定性和可靠性。
此外,对抗样本攻击还可能导致AI模型的隐私泄露。
攻击者可以通过操纵对抗样本,从模型的输出结果中获取模型的内部信息或敏感数据。
三、对抗样本攻击的防御技术为了保护AI模型免受对抗样本攻击的威胁,研究者提出了多种防御技术。
AI安全与对抗样本攻击
AI安全与对抗样本攻击随着人工智能(AI)的发展,其在各个领域的应用越来越广泛。
然而,就像任何技术一样,AI也存在着安全性的问题。
其中,对抗样本攻击是一个备受关注的问题,它可能对AI系统造成严重的安全隐患。
本文将探讨AI安全与对抗样本攻击的背景、原理以及相应的解决方案。
1. 背景AI系统的安全性是一个重要的问题。
在实际应用中,AI系统可能被恶意攻击者利用,导致系统输出错误或产生不可预测的行为。
对抗样本攻击就是一种针对AI系统的攻击手段,它通过对输入数据进行微小的修改,就能够欺骗AI系统的判断,使其产生错误的输出。
对抗样本攻击对AI系统的安全性带来了明显的威胁。
2. 对抗样本攻击的原理对抗样本攻击基于对AI系统的理解和利用。
攻击者可以在原始数据上进行微小的扰动,例如添加一些看似无害的噪音,从而让AI系统产生错误的判断。
这种攻击利用了AI系统在处理输入数据时的脆弱性和不确定性,通过优化算法和对抗策略,使得扰动后的样本通过AI系统时产生误判。
3. 对抗样本攻击的危害对抗样本攻击会对AI系统的安全性和可信度带来很大的问题。
在一些关键领域,如自动驾驶、金融风控等,对抗样本攻击可能导致系统出错,产生严重后果。
此外,对抗样本攻击还潜在地破坏了用户对AI系统的信任,降低了其在实际应用中的可用性。
4. 解决方案为了提高AI系统的安全性,并抵御对抗样本攻击,研究人员们提出了一系列的解决方案:4.1 改进训练数据改进训练数据是一种常见的对抗样本攻击防御策略。
在收集训练数据时,可以采用对抗样本生成的方法,将对抗样本加入到训练集中,使得AI系统能够对这些样本更具鲁棒性。
此外,还可以在训练数据中引入更多的噪音和干扰,增加模型的鲁棒性。
4.2 强化模型鲁棒性改进模型的鲁棒性也是一种有效的对抗样本攻击防御手段。
研究人员们提出了一些改进模型结构和算法的方法,例如添加正则化项、引入随机性等,以增强模型的鲁棒性。
此外,还可以通过集成学习、模型融合等方式提高模型的鲁棒性,抵御对抗样本攻击。
对抗样本在自动驾驶领域应用现状
对抗样本在自动驾驶领域应用现状作者:崔岳来源:《合作经济与科技》2019年第07期[提要] 对抗样本是指通过添加干扰产生能够导致机器学习模型产生错误判断的样本。
过去几年人工智能学者取得巨大的突破,深度学习更是让冷冰冰的机器“耳聪目明”,不仅能够从视频中认出猫,还能识别路上的行人和交通信号灯。
科学家和工程师在图像、语音、自然语言处理等方面取得突破性进展,某些领域AI已经超越人类。
然而,研究者也发现,基于深度神经网络模型的系统,很容易被对抗样本欺骗愚弄。
在自动驾驶领域,研究对抗样本的攻击和防御情况,对自动驾驶行业的发展具有深远影响。
关键词:对抗样本;自动驾驶;机器学习;神经网络中图分类号:TP3-05 文献标识码:A收录日期:2019年1月10日一、对抗样本与对抗攻击从2013年开始,深度学习模型在多种应用上已经能达到甚至超过人类水平,比如人脸识别、物体识别、手写文字识别等等。
在这之前,机器在这些项目的准确率很低,如果机器识别出错了,没人会觉得奇怪。
但是现在,深度学习算法的效果好了起来,去研究算法犯的那些不寻常的错误变得有价值起来。
其中一种错误就叫对抗样本。
对抗样本是机器学习模型的一个有趣现象,攻击者通过在源数据上增加人类难以通过感官辨识到的细微改变,但是却可以让机器学习模型接受并做出错误的分类决定。
一个典型的场景就是图像分类模型的对抗样本,通过在图片上叠加精心构造的变化量,在肉眼难以察觉的情况下,让分类模型产生误判。
如图1所示,对于一张熊猫的照片,分类模型可以正确地将其分类为熊猫,但是在加上人为设计的微小噪声之后,虽然人眼是对两张图片看不出分别的,计算机却会以99.3%的概率将其错判为长臂猿。
(图1)研究者们认为,大多数机器学习算法对于对抗干扰很敏感,只要从图像空间中精心选取的方向增加轻微的干扰,就可能会导致这个图像被训练好的神经网络模型误分类。
这种被修改后人类无法明显察觉,却被机器识别错误的数据即为对抗样本,而这整个过程就可以理解为对抗攻击。
对抗学习在自动驾驶中的应用
对抗学习在自动驾驶中的应用自动驾驶技术的发展已经引起了全球范围内的广泛关注。
随着人工智能和机器学习的快速发展,对抗学习作为一种新兴的技术,为自动驾驶系统带来了新的可能性。
对抗学习是一种通过构建对抗性场景来训练和改进机器学习模型的方法。
本文将探讨对抗学习在自动驾驶中的应用,并讨论其带来的挑战和未来发展方向。
首先,对抗学习可以用于改善自动驾驶系统在复杂场景中的性能。
现实世界中有许多复杂且具有挑战性的交通场景,例如交通堵塞、恶劣天气条件和不规则行为等。
传统方法往往难以应对这些复杂情况,并且很难构建准确模型来预测未知情况下发生事故或者不安全行为。
通过引入对抗样本,可以使机器学习模型变得更加鲁棒,并且能够更好地适应这些复杂情况。
其次,对抗学习可以用于提高自动驾驶系统的安全性。
自动驾驶系统的安全性是其发展的关键问题之一。
然而,在现实世界中,我们无法预测所有可能发生的危险情况。
对抗学习可以通过引入对抗样本,模拟各种可能的危险情况,并通过训练和改进模型来提高系统对这些情况的应对能力。
这种方法可以帮助自动驾驶系统更好地预测和避免潜在的危险,并提高整体安全性。
此外,对抗学习还可以用于改善自动驾驶系统在不确定环境中的决策能力。
在现实世界中,环境变化是不可避免的,例如道路状况、交通流量和行人行为等。
传统方法通常依赖于预定义规则和模型来做出决策,但这些方法往往无法应对不确定性。
通过引入对抗样本和训练模型来适应不确定环境,自动驾驶系统可以更好地做出实时、准确且可靠的决策。
然而,在将对抗学习应用于自动驾驶中时也面临着一些挑战。
首先,对抗学习需要大量的训练数据和计算资源。
在自动驾驶系统中,获取大规模的真实训练数据是一项巨大的挑战。
此外,对抗学习需要进行大量的计算和优化,以找到最优的对抗样本和模型参数。
这对计算资源和算法效率提出了更高要求。
其次,对抗学习可能导致模型性能下降。
在训练过程中引入对抗样本可能会导致模型过度拟合这些样本,从而降低在真实场景中的性能。
生成对抗网络在自动驾驶和智能交通中的应用
生成对抗网络在自动驾驶和智能交通中的应用生成对抗网络(GAN)是一种近年来备受关注的机器学习技术,其在自动驾驶和智能交通领域的应用也逐渐受到重视。
自动驾驶和智能交通作为现代交通领域的重要研究方向,其目标是通过引入先进的技术来提高交通系统的效率、安全性和可持续性。
生成对抗网络作为一种强大的生成模型,具有许多优势,可以为自动驾驶和智能交通领域带来许多新机遇。
在自动驾驶领域,生成对抗网络可以用于模拟和预测不同场景下的道路状况。
通过训练GAN模型,可以生成具有真实感且多样化的道路图像,从而帮助自动驾驶系统更好地适应各种复杂路况。
此外,在自动驾驶系统中使用GAN还可以提高其对于异常情况的处理能力。
通过引入GAN模型中学习到的异常样本,并将其与真实场景进行比较,可以帮助系统更好地识别并应对各种潜在风险。
此外,在智能交通领域中使用生成对抗网络也具有广阔的应用前景。
例如,GAN可以用于生成交通流量的模拟数据,从而帮助交通管理部门更好地规划道路和交通信号灯。
通过模拟不同的交通流量情景,可以更好地评估不同规划方案的效果,并提供决策支持。
此外,GAN还可以用于生成虚拟的驾驶员行为数据,从而帮助研究人员更好地理解和预测驾驶员行为,并为智能交通系统提供更准确的预测和决策。
此外,生成对抗网络还可以用于改善自动驾驶系统和智能交通系统中的感知能力。
通过训练GAN模型来生成具有不同特征和属性的虚拟对象,并将其与真实对象进行对比,可以帮助系统更好地识别和理解复杂场景中出现的各种物体。
此外,在自动驾驶中使用GAN还可以提高其对于不同天气条件下道路状况感知能力。
通过训练GAN模型来生成具有不同天气条件下道路图像,并将其与真实场景进行比较,可以帮助自动驾驶系统更好地适应各种天气条件。
然而,在实际应用中使用生成对抗网络也面临一些挑战和限制。
首先,GAN模型的训练需要大量的数据和计算资源。
在自动驾驶和智能交通领域,获取大规模的真实数据是一项具有挑战性的任务。
对抗样本技术在图像识别中的应用研究
对抗样本技术在图像识别中的应用研究随着机器学习和深度学习技术的不断发展,图像识别技术也越来越成熟。
图像识别已经被广泛应用于各个领域,如安防、医疗、金融等。
然而,随着深度学习技术的广泛应用,对抗样本攻击也随之兴起。
对抗样本攻击可以通过微小的、人眼难以察觉的修改来欺骗图像识别算法,导致错误的判断和分类。
因此,对抗样本技术在图像识别中的应用研究十分重要。
一、对抗样本技术简介对抗样本是指经过人工修改后,仍被分类器误判为原本的类别的样本。
对抗样本可以通过加噪声、旋转、缩放等方式来实现。
对抗样本攻击是指将对抗样本输入到分类器中,使其分类出错或误判。
对抗样本攻击的目的是通过微小的修改来欺骗图像识别算法,让其做出错误的判断,从而达到攻击的目的。
二、对抗样本攻击的影响对抗样本攻击对图像识别技术造成了极大的影响。
一方面,对抗样本攻击可以使得图像识别算法产生误判,导致图像识别技术的鲁棒性下降;另一方面,对抗样本攻击也让恶意攻击者有可能通过修改图片来欺骗图像识别系统,从而对安全等领域造成隐患。
三、对抗样本技术的应用对抗样本技术不仅可以被用于攻击,也可以被用于提升图像识别技术的鲁棒性。
因此,人们开始研究如何将对抗样本技术应用于图像识别。
1. 对抗样本的防御对抗样本的防御是指通过改进算法或使用对抗训练等方式,提高图像识别算法的鲁棒性,从而抵御对抗样本攻击。
对抗训练是指通过对抗攻击来训练模型,从而提高模型的鲁棒性。
训练模型时,会在正常样本的基础上加入对抗样本,从而训练出一种具有更高鲁棒性的图像识别算法。
除了对抗训练,还有一些其他的方法可以提升图像识别算法的鲁棒性,例如输入预处理、随机混淆等。
2. 对抗样本的应用对抗样本技术在图像处理领域有着广泛的应用。
对于自动驾驶领域而言,对抗样本攻击可能会导致汽车识别路标或路牌时发生错误,从而影响驾驶安全。
因此,如何防御对抗样本攻击对自动驾驶技术的发展至关重要。
在安防领域,对抗样本攻击可能会导致监控摄像头误判人员身份或动作,从而影响保安工作的效率。
可解释性机器学习模型对抗样本的研究
可解释性机器学习模型对抗样本的研究引言近年来,机器学习的快速发展已经广泛应用于各个领域,例如图像识别、自然语言处理和智能推荐系统等。
然而,机器学习模型在取得显著成绩的同时,也面临一系列严重的挑战。
其中之一就是对抗样本的攻击。
对抗样本是一种特殊设计的输入,经过微小修改后可以误导机器学习模型产生错误的预测结果,甚至是高度置信的错误预测结果。
为了解决对抗样本攻击的问题,研究人员开始探索可解释性机器学习模型,并将其应用于对抗样本的检测和防御。
本文将介绍可解释性机器学习模型对抗样本的研究最新进展,并探讨其在构建更加健壮的机器学习系统中的潜力。
章节一可解释性机器学习模型的基本原理1.1 可解释性机器学习模型的概念可解释性机器学习模型是指能够提供清晰解释其决策依据的模型。
与传统的黑盒模型相比,可解释性模型具有更好的可解释性和可理解性。
这种模型通常具有较少的参数和简单的结构,能够提供决策的理由和相关特征,为用户、行业监管机构和其他相关方提供解释和可信度评估。
1.2 可解释性机器学习模型的应用领域可解释性机器学习模型在许多领域得到了广泛应用。
例如,在金融领域,可解释性模型可以解释贷款申请被拒绝的原因;在医疗领域,可解释性模型可以解释医疗诊断决策的原理和依据;在自动驾驶领域,可解释性模型可以解释自动驾驶系统的决策过程。
1.3 可解释性机器学习模型的实现方法可解释性机器学习模型的实现方法有多种,常见的包括规则提取、树模型和线性模型。
规则提取技术通过从训练数据中提取特征与决策之间的关系,生成一系列简单规则,用于解释模型的决策过程。
树模型和线性模型通过将特征和权重进行可视化,提供决策的可解释性。
章节二对抗样本的攻击与防御2.1 对抗样本的生成方法对抗样本的生成方法有多种,常见的包括梯度方法、优化方法和生成对抗网络(GAN)。
梯度方法通过在原始输入中添加微小的扰动,使得模型产生错误的预测结果。
优化方法通过优化一定的目标函数,生成使模型产生错误预测的输入。
人工智能技术的对抗样本攻击与防御机制研究
人工智能技术的对抗样本攻击与防御机制研究人工智能技术的迅猛发展给我们的生活带来了诸多便利,但同时也引发了一系列的安全问题。
其中,对抗样本攻击是一个备受关注的领域。
对抗样本攻击指的是通过对输入数据进行微小的修改,从而欺骗人工智能系统,使其做出错误的决策。
这种攻击方式可能导致严重的后果,例如误导自动驾驶汽车、欺骗人脸识别系统等。
对抗样本攻击的研究已经取得了一定的进展。
研究人员发现,即使对于人类来说,微小的视觉变化也可能导致错误的判断。
利用这一点,他们通过对图像进行微小的修改,就能够欺骗人工智能系统。
这些修改可以是人眼几乎察觉不到的,但却足以改变系统的输出结果。
这种攻击方式被称为“不可感知攻击”,因为攻击者可以在不引起注意的情况下,改变系统的决策。
为了应对对抗样本攻击,研究人员提出了一系列的防御机制。
其中最常见的方法是对抗样本训练。
这种方法通过在训练数据中添加一些经过修改的样本,使得人工智能系统对于这些攻击更加鲁棒。
同时,还有一些方法利用深度学习模型的不确定性来检测对抗样本。
这些方法通过对输入数据进行分析,判断其是否来自于攻击者。
另外,还有一些方法通过对抗样本的生成过程进行建模,从而更好地理解攻击者的策略,进一步提高系统的安全性。
然而,目前的防御机制仍然存在一些局限性。
首先,对抗样本攻击的方法不断演变,攻击者可以通过不断改进攻击策略来绕过当前的防御机制。
其次,防御机制往往会降低系统的性能。
例如,在对抗样本训练中,添加大量的对抗样本会导致系统对于正常样本的分类准确率下降。
这就需要在系统性能和安全性之间进行权衡。
此外,防御机制的设计也需要考虑到系统的实时性和可扩展性。
为了解决这些问题,研究人员需要进一步深入研究对抗样本攻击的本质。
他们需要更好地理解攻击者的策略和目标,以及攻击方式背后的原理。
同时,他们还需要开发更加鲁棒的防御机制,能够在保证系统性能的同时,有效地抵御对抗样本攻击。
这需要跨学科的合作,涉及到计算机科学、数学、心理学等多个领域的知识。
对抗性样本检测技术发展综述
对抗性样本检测技术发展综述随着深度学习的快速发展,深度神经网络在人工智能领域取得了巨大突破。
然而,研究人员发现,这些神经网络对于对抗性样本(Adversarial Samples)非常脆弱,即使微小的扰动也能欺骗神经网络,导致错误的分类结果。
为了解决这一问题,对抗性样本检测技术应运而生。
本文将对对抗性样本检测技术的发展进行综述。
一、对抗性样本检测技术的概述对抗性样本检测技术旨在增强神经网络的鲁棒性,提高其对对抗性样本的识别能力。
目前,主要的对抗性样本检测技术包括基于卷积神经网络的检测方法、基于模型不确定性的检测方法以及基于生成对抗网络的检测方法。
二、基于卷积神经网络的检测方法基于卷积神经网络的对抗性样本检测方法通过在原始网络中添加额外的检测模块来识别对抗性样本。
这些检测模块通常基于副任务,例如对抗训练、反向传播特征信号和梯度类别估计。
三、基于模型不确定性的检测方法基于模型不确定性的对抗性样本检测方法利用神经网络的输出不确定性来判断输入样本是否为对抗性样本。
这些方法通常利用贝叶斯推断、蒙特卡罗 dropout 和模型集成来估计模型的不确定性。
四、基于生成对抗网络的检测方法基于生成对抗网络的对抗性样本检测方法通过训练一个生成器网络来生成对抗性样本,然后利用一个判别器网络来区分生成的对抗性样本和真实样本。
这种方法能够模拟对抗例子的生成过程,进而提高检测的准确性。
五、对抗性样本检测技术的评价指标为了评估对抗性样本检测技术的性能,研究人员通常使用误报率、检测率和平均检测时间等指标。
误报率和检测率反映了技术在检测对抗性样本时的准确性,平均检测时间则反映了技术的实时性能。
六、对抗性样本检测技术的应用领域对抗性样本检测技术在图像分类、语音识别、自然语言处理等领域都有广泛的应用。
在图像分类领域,对抗性样本检测技术能够有效防止对抗性图像对神经网络的攻击;在语音识别领域,对抗性样本检测技术能够提高对抗声音的检测能力。
面向智能驾驶视觉感知的对抗样本攻击与防御方法综述
DOI:10.13878/j.cnki.jnuist.2019.06.003杨弋鋆1㊀邵文泽1㊀王力谦1㊀葛琦1㊀鲍秉坤1㊀邓海松2㊀李海波1,3面向智能驾驶视觉感知的对抗样本攻击与防御方法综述摘要现如今,深度学习已然成为机器学习领域最热门的研究方向之一,其在图像识别㊁目标检测㊁语音处理㊁问答系统等诸多领域都取得了巨大成功.然而通过附加经过特殊设计的细微扰动而构造出的对抗样本,能够破坏深度模型的原有性能,其存在使许多对安全性能指标具有极高要求的技术领域,特别是以视觉感知为主要技术优先的智能驾驶系统,面临新的威胁和挑战.因此,对对抗样本的生成攻击和主动防御研究,成为深度学习和计算机视觉领域极为重要的交叉性研究课题.本文首先简述了对抗样本的相关概念,在此基础上详细介绍了一系列典型的对抗样本攻击和防御算法.随后,列举了针对视觉感知系统的多个物理世界攻击实例,探讨了其对智能驾驶领域的潜在影响.最后,对对抗样本的攻击与防御研究进行了技术展望.关键词对抗样本;目标检测;语义分割;智能驾驶中图分类号TP391文献标志码A收稿日期2019⁃10⁃10资助项目国家自然科学基金(61771250,61602257,61972213,11901299,61872424,6193000388)作者简介杨弋鋆,男,硕士生,研究方向为计算机视觉对抗样本攻击与防御.1018010626@njupt.edu.cn1南京邮电大学通信与信息工程学院,南京,2100032南京审计大学统计与数学学院,南京,2118153瑞典皇家理工学院计算机科学与通信学院,斯德哥尔摩,100440 引言㊀㊀得益于深度学习[1]技术的巨大突破以及计算机性能的快速提高,人工智能相关研究被提到了一个前所未有的高度.大量的新技术如语言翻译㊁人脸识别㊁图像生成㊁场景检测等迅速出现并被广泛应用.在深度学习领域,研究者们不断追求着更快的速度㊁更高的精度以及更广的应用范围,然而在这一片欣欣向荣之景的角落,却隐藏着一个 幽灵 ,它难以被人发现却能轻松 破坏 研究者们引以为傲的智能机器.尽管这些智能机器的精确度已在诸多应用中远超人类,但在这个 幽灵 面前,很可能立刻变成低能儿.而这个 幽灵 就叫做对抗样本(AdversarialExamples)[2].2013年,Szegedy等[3]在研究图像分类问题时首次发现了这个奇怪的现象:在测试图片上附加一些经过特殊设计且人眼难以察觉的轻微扰动,并将其输入基于深度神经网络(DeepNeuralNetwork,DNN)的图像分类系统后,会得到错误的输出结果,而这个错误的输出甚至可以被他们任意指定.简单来说,对于这个分类系统,干净样本(未附加扰动的原始图像)与附加了扰动的样本有着巨大的差异,但在人类观察者眼中,两者几乎毫无差别.如图1所示,深度模型将加入了细微扰动的 熊猫 错误地识别为了 长臂猿 .图1a是干净样本,可以看到图中是一只熊猫.图1b就是经过特殊设计生成的对抗扰动,它好似一团毫无意义的噪声.而图1c就是干净样本附加扰动之后生成的对抗样本了,我们会认为它和图1a完全一样,但分类器却将它识别为了长臂猿.图1㊀对抗样本示意图[3]Fig 1㊀Theadversarialexample[3]㊀㊀这个发现很快引起了各方研究者的注意.他们将这个被附加轻微扰动从而具有 攻击性 的输入样本定义为对抗样本,而生成这些扰动的算法就叫做对抗样本生成算法,也叫攻击算法(AdversarialAt⁃tack).随着对对抗样本的深入研究,针对其他模型或任务的攻击算法也随后出现.各种深度学习模型如DNN模型㊁强化学习模型㊁循环神经网络模型等,以及各类任务包括图像分类㊁场景检测㊁语义分割等,无一例外都被 量身定制 的对抗样本成功攻击.既然存在着对抗样本这么一支锋利的矛,那么就需要一个坚固的盾来抵御它.事实上,针对防御算法(AdversarialDefense)[4]的研究早在对抗样本发现初期就开始了.尽管目前在防御方面确实取得了不少的成果,提出了许多切实可行的防御思路,但始终存在着难以突破的局限与挑战,很多时候这些防御方法无法得到令人满意的结果.就目前来讲,现有防御算法仍无法有效抵御大部分攻击算法.1㊀对抗样本攻击算法对于对抗样本的研究也不过6年时间,针对不同模型或不同任务的攻击算法却有不少.简单来说,大致可以将这些攻击算法分为两类,分别是有目标指向的攻击和无目标指向的攻击.前者是指在对抗样本输入模型之后,会获得攻击者指定好的错误结果,比如让受到扰动的汽车图像统一错分类为风筝.而后者表示获得的结果只要是错误的就行,具体内容无所谓.另外,如果进一步细分,还可以分为单步攻击和迭代攻击两种.表1给出了部分比较典型的攻击算法.表1㊀代表性对抗样本攻击算法Table1㊀Representativeadversarialattackalgorithms单步攻击迭代攻击无目标指向FGSM[5],R+FGSM[6]BIM[7],DeepFool[8],UAP[9],PGD[10]有目标指向LLC[7],R+LLC[6]ILLC[7],JSMA[11],C&W[12],EAD[13]1 1㊀无目标指向的攻击首先介绍最为经典的对抗样本生成方法,快速梯度符号算法(FastGradientSignMethod,FGSM),该方法在2014年由Goodfellow等[5]提出,也是最早的攻击算法之一.该算法利用分类器输出结果与真实标签间的损失构建对抗扰动生成模型的目标函数,通过对干净样本附加上扰动σ,让损失函数的值尽可能大,从而使分类器的预测结果发生改变,即:f(x+σ)ʂf(x),(1)maxLoss(x+σ,f(x)),(2)其中,x表示干净样本,x+σ即为对抗样本.式(1)表示分类器对两个样本的分类结果不一致,式(2)则展示了对抗扰动σ的生成思路,即最大化对抗样本的分类结果与真实标签之间的损失.与此同时,扰动本身要限制在一个人眼无法察觉或对干净样本无法产生实质性破坏的范围内.FGSM采用最大化损失函数的方式产生扰动.显然,扰动发生在梯度方向是最有效的,因此FGSM通过在干净样本的梯度方向平移较小量级的步长来得到扰动σ:σ= sign(ÑxJ(θ,x,y)),(3)式中的y表示x对应的正确标签,θ是网络的权重参数,sign(ÑxJ(㊃))则描述了x处损失函数的梯度方向, 是在该方向上的偏移量级,通过向分类器损失的梯度方向迈出一大步来生成对抗扰动.FGSM是无目标指向的单步攻击算法,因此其训练速度很快,但由于其攻击思路相对简单,导致其攻击效果不是很理想,而且目前许多防御算法都能高效抵御FGSM的攻击.对FGSM的直接改进便是放弃向梯度方向跨固定步长的做法,转而迭代地进行许多次的小步幅扰动,在每次扰动后调整扰动方向以达到攻击的目的,这就是基本迭代算法(BasicIterativeMethod,BIM)[7].此外,无目标指向的迭代攻击还有DeepFool[8]㊁UAP[9]㊁PGD[10]等.此处再介绍一下DeepFool.DeepFool由Moosavi⁃Dezfooli等[8]提出,该算法主要根据网络的原始决策边界来迭代生成对抗扰动,将位于分类边界内的图像逐步推到边界外,直到出现错分类.形象来说,它和BIM的差异在于:BIM通过多次小步幅的调整,将受扰动的图像沿着任意路径远离正确的类直至出错,而DeepFool则是让其从正确的类指向类决策边界进行移动,以最短路径进入其他的类别区域.这种做法使产生的扰动更加细微,进一步增强了其不可见性.1 2㊀有目标指向的攻击对于有目标指向的单步攻击,比较典型的有LLC算法[7].事实上,这种算法是FGSM的一个扩256杨弋鋆,等.面向智能驾驶视觉感知的对抗样本攻击与防御方法综述.YANGYijun,etal.Asurveyofadversarialattacksanddefensesonvisualperceptioninautomaticdriving.展,它用DNN分类器预测的最低概率的类别标签来替代FGSM中使用的真实标签,并最小化损失函数,然后从原始图像中减去计算出来的扰动从而得到对抗样本.类似于BIM,LLC自然也存在其迭代版本ILLC[7].其他有目标指向的迭代攻击还有JSMA[11]㊁C&W攻击[12]㊁EAD[13]等.其中C&W攻击算法由Carlini和Wagner提出,他们针对同时期提出的用于抵抗对抗样本的防御蒸馏法[14],引入了3种攻击算法.C&W算法的优势在于其可以根据自身需求调节置信度,且生成的扰动更小,同时它可以破解包括防御蒸馏法在内的多种防御算法,使其适用于黑盒攻击.当然,这个攻击算法的缺点是计算量太大.除此以外,已有的攻击算法还可以从其他角度进行分类,比如数字化攻击(DigitalAttack)和真实世界攻击(Real⁃worldAttack).从字面上就能理解,前者只是在同一计算机内以纯粹数字的形式进行计算和攻击,而后者则是能在真实世界将对抗样本打印出来,并对第三方识别系统如手机㊁广场监控等进行攻击.另外还可以分类为白盒攻击(White⁃boxAttack)和黑盒攻击(Black⁃boxAttack).前者表示在对模型和训练集完全了解的前提下进行扰动的生成,而后者则是在对模型和训练集知之甚少的情况下进行对抗攻击.2㊀对抗样本防御算法对抗样本的存在使一些极具安全敏感性的技术领域受到严重威胁,研究能有效抵御对抗样本的防御机制成为当前深度学习安全领域的重要课题.从防御方思路上看,目前大致可以将防御算法分为三类(表2):1)对数据集进行修改或预处理;2)对原模型进行修改;3)添加外部模型而不改动原模型.第一种方式不直接涉及模型本身而是把关注点放在数据集上,第二和第三种方式则更关注模型本身的优化.另外,从防御效果上看,可以把防御算法分成两类:完全防御和检测防御.前者意在使模型完全抵御对抗样本的攻击从而恢复原有性能,后者的目的则在于让模型 意识 到自己受到了攻击,从而发出警报,但并不能实现真正意义的防御.表2㊀对抗样本防御算法部分总结Table2㊀Representativeadversarialdefensealgorithms完全防御检测防御从数据集入手对抗训练[15]㊁数据压缩[16]㊁数据增强[17]㊁随机化[18]修改模型自身梯度正则化[19]㊁梯度掩蔽[19]㊁防御蒸馏[14]㊁DeepCloak[20]㊁Parseval网络[4]SafetyNet[21]㊁探测子网[22]㊁Aca扰动检测[23]添加外部模型扰动校正网络[24]㊁GAN⁃based防御[25]特征挤压[26]㊁MagNet[27]㊁自适应降噪[28]2 1㊀对数据集进行修改首先介绍对抗训练(AdversarialTraining)[15].在原有的训练集上加入对应的对抗样本数据集,即让原图与对抗样本一起作为训练集输入来训练模型.实验证明,这种对抗训练能有效提升模型的鲁棒性.同时,对抗训练能使网络进一步规范化,减少过度拟合.当然,这种方法的局限性非常大,已有相关实验证明,对于已经接受对抗训练的网络,仍然可以构造出其他有效的扰动,从而获得新的对抗样本进行攻击.Dziugaite等[16]受到图片JPG压缩的启发,将这种压缩方式运用在了对抗样本上.实验证明,JPG压缩可以在很大程度上扭转FGSM扰动下分类精度下降的趋势.然而,这种压缩方式,包括后来尝试的DCT㊁JPEG及PCA等方式,远远不能产生高效的防御,同时压缩也导致了图片本身精度的下降,有些得不偿失.其他还有如在训练过程中做高斯数据增强[17],在测试时对图像作随机填充[18]等,也能在一定程度上增强鲁棒性.2 2㊀修改网络模型本身Ross和Doshi⁃Velez[19]将输入梯度正则化作为一种防御思路.他们的方法是,在训练可微模型的同时,惩罚导致输出相对于输入变化的变化程度.这意味着,一个小的对抗性扰动不太可能大幅改变训练模型的输出.实验也表明,该方法和对抗训练相结合,对FGSM和JSMA等攻击具有很好的鲁棒性,但这种方法成倍增加了网络的训练复杂度.Papernot等[14]利用蒸馏的概念使深层神经网络对对抗样本攻击具有鲁棒性.蒸馏是Hinton等[29]引入的一种训练过程,用于将更复杂的网络知识转移356学报(自然科学版),2019,11(6):651⁃659JournalofNanjingUniversityofInformationScienceandTechnology(NaturalScienceEdition),2019,11(6):651⁃659到更小的网络之中.Papernot等[14]引入的蒸馏过程的变体,实质上就是利用网络的知识来提高自身的鲁棒性,这种算法会以概率向量的形式从训练数据中提取知识,并反馈给原模型进行训练.实验表明,这种做法可以提高网络对图像中微小扰动的恢复能力.Lu等[21]曾假设,在网络的后期阶段,对抗样本相比于干净样本,会产生不同的ReLU激活模式.因此,他们提出了SafetyNet,其将SVM分类器添加到目标模型中,让SVM使用网络后期ReLU计算的离散码来检测图像中是否存在扰动.其他还有Gao等[20]的DeepCloak,Metzen等[22]的探测子网(DetectorSubnetwork)以及Grosse等[23]的Aca扰动检测等防御算法.2 3㊀使用附加模块Akhtar等[24]提出了一种针对全局扰动的防御框架.该框架向目标网络添加额外的扰动校正网络(PerturbanceReviseNetwork,PRN),训练它们对扰动后的图像进行校正,使分类器的预测指向正确结果.而训练PRN网络的过程不影响原有网络的内部参数.此外,Lee等[25]使用近年流行的GAN框架[30]来训练一个对FGSM之类的攻击具有鲁棒性的防御网络.他们利用试图产生对抗扰动的生成器来训练分类器.在训练过程中,生成器不断尝试生成具有更强攻击能力的对抗扰动,而分类器则不断尝试正确地对干净样本和对抗样本进行分类.这样,经过多次迭代训练,其训练出的分类器将会具有更强的鲁棒性.Xu等[26]提出使用特征压缩来检测图像存在的扰动.他们在分类器网络中增加了两个外部模型,这些模型降低了图像中每个像素的颜色位深度,并对图像进行空间平滑.在此过程中,附加模型对原始图像和压缩图像进行预测比较,如果差异值超过特定阈值,则代表该图像受到了攻击.其他还有Meng等[27]提出的MagNet以及Liang等[28]提出的自适应降噪算法等.3㊀智能驾驶与对抗样本前文介绍了一些典型的对抗样本攻击与防御算法,在此基础上进一步介绍一下对抗样本对智能驾驶视觉感知的影响.在此之前,关于对抗样本是否在物理世界真实存在的问题,学术界曾展开过激烈的讨论.而OpenAI经过深入研究,在其博客(https:ʊopenai.com)上发表了他们的研究成果,并给出了明确的结论:物理世界存在稳定的对抗样本.此后,关于对抗样本的研究范围进一步扩大,针对真实世界的攻击算法接连出现,当下热门的智能驾驶(AutomaticDriving),因其超高的安全性要求,更是成为研究者们的重要关注对象.智能驾驶汽车利用雷达装置㊁视觉装置㊁定位系统等部件协同合作,让计算机可以在没有人类介入的情况下,自动安全地操作机动车辆.尽管自动驾驶技术已经研究了多年,许多公司也致力于汽车智能化发展方向,但多次死亡事故[31]依然时刻警示着研究人员.其中最近的一起特斯拉的死亡事故引发了业界对于智能驾驶视觉感知系统安全性能的深思.这次事故中车辆上的视觉系统错误地将前方的大型货车车厢识别为了天空,使车辆高速地撞上了货车.很多人会认为这无非就是视觉模型还存在漏洞,说明模型还没达到绝对的精准性,只要做进一步训练就能避免.然而真的这么简单就能解决问题吗?当然,就这起事故而言,确实是由模型本身存在的缺陷导致.但是否有可能在视觉系统确实足够精准的情况下,通过某种手段让其失效呢?对抗样本给出了明确的答案:完全可以.事实上,已经有研究人员针对如路标识别[32]㊁行人检测[33]等智能驾驶常用的视觉感知技术进行了攻击实验,并得到了明显的成效.3 1㊀路标识别攻击路标识别对智能驾驶系统来说,是一个必需且基本的技术,智能汽车应能够准确识别出路标所表示的内容,从而采取相应的机动措施.例如,当识别到STOP路标时应进行停车动作,再如当识别到限速40的路标时就要进行相应的限速措施.但最近一项研究表明[32],只要在路标上贴上几个不起眼的小贴纸,智能汽车或许就无法识别出这些路标了.这项研究由华盛顿大学㊁密歇根大学㊁斯托尼布鲁克大学㊁加州大学伯克利分校㊁斯坦福大学和三星集团美国研究所的研究人员共同合作完成.论文展示了两种不同的攻击方式,而在第二种攻击中,他们只需要几个小小的标签,就能让YOLOv2[34]无法检测出路标.而这些小标签能伪装成涂鸦艺术之类的东西融入到路标图像中,让人们难以察觉,即使是发现了也往往不会在意.456杨弋鋆,等.面向智能驾驶视觉感知的对抗样本攻击与防御方法综述.YANGYijun,etal.Asurveyofadversarialattacksanddefensesonvisualperceptioninautomaticdriving.首先介绍是第一种攻击,研究人员对路标进行了有目标指向的全局扰动,然后将其以海报的形式全尺寸打印了出来,覆盖在原来的STOP路标上.在测试中,视觉感知系统从不同的距离和角度,对这个对抗样本进行识别,结果在大多数情况下,其将STOP路标识别为了限速标志.前文在介绍对抗样本时提到过,只要在原图上附加非常轻微的扰动,就能产生攻击效果.事实上,这种做法目前只局限于数字化攻击中,如果要将对抗样本带入真实世界,那么这种扰动必须是较为显眼的.因为打印过程㊁再摄像过程㊁再保存过程都会产生信息丢失,原本细微的扰动极容易在这些过程中被 消去 .因此不难发现,图2a中假路标上的扰动确实过于明显,真的拿它去欺骗视觉感知系统的话,虽然效果很好,但很容易就被人怀疑.图2㊀针对STOP路标的对抗样本展示图[32]Fig 2㊀TheadversarialexamplesonSTOPsigns[32]因此,第二种攻击所考虑的问题就是如何让扰动尽可能不被人警觉.在第二种攻击中,研究人员使用了一种新的对抗样本形式,叫做对抗补丁(Adver⁃sarialPatch),也就是上文所说的小标签.他们对RP2算法[35]进行了改进,加入自己设计的 DisappearanceAttackLoss ,成功制作出了可以将STOP路标 隐藏起来 的对抗补丁,如图2b所示.尽管这些小标签本身还是比较显眼,图案内容也和路标有些格格不入,但相比于第一种的全局扰动,其覆盖面积大大减少,且在人类眼中其对路标内容的影响基本上可以无视,因此可以认为在很大程度上达到了不被人警觉的要求.下面重点介绍他们的第二种攻击算法.该攻击算法针对的是基于YOLOv2的物体检测模型.实验使用了专门设计的损失函数来对对抗补丁进行训练,通过迭代训练使该损失函数的值最小化,最终得到相应的补丁图案,使附加上该补丁的STOP路标无法被识别系统检测出来.训练对抗补丁所使用的损失函数由三部分构成:1)DisappearanceAttackLossJd(x,y)=maxsɪS2,bɪBP(s,b,y,fθ(x)),(4)该损失函数是最核心的部分,其中x代表附加了对抗补丁的输入图像,fθ(x)表示深度模型的输出,y表示指定的类别,该实验自然指向的是STOP路标,s表示网格单元,b表示锚点.这里解释一下:YOLOv2网络的输出会以19ˑ19(5(4+1+n))的三维张量表示,意思是19ˑ19的网格单元,每个单元有5个锚点,每个锚点包含4个边界框信息㊁1个物体存在置信度和n个类别各自的概率,P(㊃)则表示给定网格单元和锚点的物体存在置信度.该损失函数的目的,是尽可能降低指向STOP路标的最大存在置信度,通过多次迭代训练,使检测器最终无法检测出STOP路标.2)TatalVariationLossTV(Mx㊃δ)=ði,j(Mx㊃δ)i+1,j-(Mx㊃δ)i,j+(Mx㊃δ)i,j+1-(Mx㊃δ)i,j,(5)该损失函数计算的是对抗补丁相邻像素间的色值差,其目的在于让扰动更加平滑,让对抗信息得以区块化.若不使用该损失,补丁信息将显得噪声化,从而降低真实世界攻击的成功率.函数中δ表示对抗补丁,Mx表示对补丁做一定的随机变换如亮度调节㊁旋转㊁加噪等.3)Non⁃printabilityLossNPS(Mx㊃δ),(6)该函数针对的是对抗补丁的可打印性.由于打印机的色域有限,某些计算机中存在的颜色打印机中却没有,从而无法被打印出来.该函数的目的在于让对抗补丁每个像素的色值尽量接近打印机所拥有的色值.将三部分损失函数相加,进行迭代训练,最终可以得到能高效攻击STOP路标的对抗补丁.除此以外,研究人员还设计了名为 CreationAttackLoss 的第四个损失函数.与之前的工作不同,该函数的目的是让检测器在无法检测出STOP路标的前提下,在相同的位置能够检测出其他原本不存在的物体,相应的实验也显示出了较好的结果.图3展示了该实验的部分结果.另外,尽管这项实验针对的是YOLOv2模型,但研究人员通过进一步设计,成功将攻击迁移至了Faster⁃RCNN.556学报(自然科学版),2019,11(6):651⁃659JournalofNanjingUniversityofInformationScienceandTechnology(NaturalScienceEdition),2019,11(6):651⁃659图3㊀STOP路标攻击实验展示图[32]Fig 3㊀AttackexperimentsontheSTOPsigns[32]这项研究充分表明了智能驾驶的视觉感知系统仍有很长的路要走,如果不能有效抵御对抗样本的侵扰,不排除会有不法分子对路边的路标进行恶意攻击,从而使智能汽车无法正确识别,引发交通事故.3 2㊀行人检测攻击来自比利时鲁汶大学的几位研究人员研究发现[33],借助一张简单打印出来的图案,就可以完美避开行人检测系统.如图4所示,视觉系统成功检测到了左边的人,但却没能发现右边的人.可以看到,右边的人身上挂了一块彩色的纸板,也就是前文所说的对抗补丁,正是这块补丁欺骗了视觉感知系统,让系统无法发现这块补丁所在之处还存在着一个人.图5㊀对抗补丁行人检测攻击实验[33]Fig 5㊀Attackexperimentsonpedestrians[33]该对抗补丁的生成算法和上文介绍的路标识别攻击算法有着相同的思路,都是通过设计好的损失函数,去训练一个固定形状的对抗补丁,使附加了补丁的对象在输入检测系统后得到尽可能低的物体存在置信度.图4㊀对抗补丁把人 隐藏 了起来[33]Fig 4㊀Theadversarialpatch"hides"theperson[33]行人检测攻击的负面影响是非常大的.比如,可以通过这种补丁恶意地绕过监控系统,或者更糟糕地,让别人穿上带有对抗补丁的衣物,使其在路上行走时无法被智能车辆检测出来,从而大大增加事故概率.图5展示了该项实验针对室外场景的一部分数字化攻击实验.656杨弋鋆,等.面向智能驾驶视觉感知的对抗样本攻击与防御方法综述.YANGYijun,etal.Asurveyofadversarialattacksanddefensesonvisualperceptioninautomaticdriving.因此,对于智能汽车将要普及的未来时代,务必需要找到能高效抵御这类对抗样本的方法,这样才能进一步保障智能汽车的安全性.3 3㊀道路场景的其他恶意攻击上文介绍的两项研究成果表明,现有的攻击算法已经可以通过补丁的形式,使智能驾驶视觉感知系统针对路标和行人的检测失效.这些诡异的对抗补丁,时刻威胁着视觉系统的正常工作.可以做一个设想,回想一下之前提到的特斯拉追尾事故,是否有可能存在一些不法分子,恶意地在大大小小的货车车厢后面贴上一些不起眼的对抗补丁,从而让这些货车 消失 在路上呢?又或者在一些弯道很多的山路上,在转弯处的护栏上贴上这些诡异的补丁,让智能汽车误以为那里是一条直路而直冲而去呢?虽然相信这些反人类的行为不太可能出现,但只要还没研究出高效的防御机制,这种隐患就绝对不能视而不见.除了针对物体检测和识别的攻击,目前也有文献报道了针对语义分割㊁实例分割等视觉任务的攻击方法.Xie等[36]成功使用自己设计的密集对抗生成算法(DenseAdversaryGeneration,DAG),对图像生成全局扰动,使视觉系统对其做出错误的语义分割,如图6所示.图6㊀语义分割模型错误地分割了附有扰动的图像[36]Fig 6㊀Thesemanticsegmentationmodelincorrectlysegmentedtheimagewithdisturbance[36]图6中的左上图是干净样本,左下图是干净样本的语义分割结果,右上图展示的是DAG算法生成的对抗扰动,右下图则展示了干净样本受到攻击后所得到的语义分割结果.语义分割技术可以让智能汽车在检测出前方物体的同时,能进一步勾画出物体的轮廓,从而获得更加精细的路况信息,更顺利地进行超车㊁绕行㊁规避等动作.若上述针对语义分割任务的攻击算法移植到智能驾驶系统,其影响可想而知.事实上,研究人员完全可以设计出一系列面向道路场景的对抗补丁,将行人㊁树木等物体与背景 融为一体 ,使视觉系统无法将其正确分割出来.4㊀研究展望到目前为止,面对各种各样的对抗样本攻击,仍没有足够有效的防御机制来抵抗它们.更何况这些对抗样本或补丁在进一步的研究之中,将会变得更小㊁更隐蔽㊁更具破坏力与迁移力,并对所能想到的经常出现于道路场景的任何物体进行攻击,使智能汽车的视觉感知系统无法检测出它们的存在.可以说,对抗样本的存在,对智能驾驶的安全性提出了巨大的挑战.尽管目前大部分的攻击属于白盒攻击,市面上许多智能驾驶企业也对其使用的视觉感知模型处于保密状态,但对抗样本的多任务化㊁强迁移化㊁高隐蔽化㊁强攻击化正是目前攻击算法的必然趋势,如果不能研究出可以高效抵御这些对抗样本的防御方法,智能汽车将始终藏着一枚定时炸弹,时刻威胁着乘客和行人的生命安全.针对对抗样本攻击与防御方法的研究将是一个长期的任务,它不仅有趣而且至关重要.一方面,研究对抗样本可以让人们从一个新的角度去剖析深度神经网络的运行机制;另一方面,高效抵御对抗样本也必然是未来达成人工智能终极目标 通用人工智能(AGI)所必须跨越的鸿沟.当然,就目前来讲,其最重要的影响就是能进一步保障深度学习模型的安全性,尤其是针对智能驾驶这类有着极高安全性要求的技术领域,毕竟对于一切的人类活动,安全问题乃重中之重.参考文献References[1]㊀LecunY,BengioY,HintonG.Deeplearning[J].Nature,2015,521(7553):436⁃444[2]㊀AkhtarN,MianA.Threatofadversarialattacksondeeplearningincomputervision:asurvey[J].IEEEAccess,2018,6:14410⁃14430[3]㊀SzegedyC,ZarembaW,SutskeverI,etal.Intriguingprop⁃ertiesofneuralnetworks[J].arXivPreprint,2013,arXiv:1312.6199[4]㊀YuanX,HeP,ZhuQ,etal.Adversarialexamples:attacksanddefensesfordeeplearning[J].IEEETransactionson756学报(自然科学版),2019,11(6):651⁃659JournalofNanjingUniversityofInformationScienceandTechnology(NaturalScienceEdition),2019,11(6):651⁃659。
对抗样本攻击方法及防御
对抗样本攻击方法及防御章节一:引言1.1 背景介绍近年来,机器学习和深度学习的快速发展在很多领域取得了巨大的成功。
然而,人们逐渐意识到这些模型对于输入数据的灵敏性,并容易受到对抗样本攻击的影响。
对抗样本是通过对输入数据进行微小的、有针对性的扰动而产生的,可能导致模型输出产生误判。
对抗样本攻击对于许多应用场景都具有潜在的危害,如图像分类、语音识别、自动驾驶等。
因此,研究对抗样本攻击方法及防御策略变得非常重要。
1.2 目的和意义本文旨在系统地介绍对抗样本攻击的方法和防御策略,为进一步开展相关研究提供指导。
文章将从对抗样本攻击的原理和分类出发,深入探讨当前常见的对抗样本生成方法,并重点介绍各种防御策略的原理和效果评估,以期提高对抗样本攻击的防御能力。
章节二:对抗样本攻击方法2.1 对抗样本的定义与原理对抗样本是指通过对原始输入数据进行微小的扰动,能够引起模型输出错误的输入。
其基本原理是通过在原始输入数据中添加一些具有一定规律的扰动,使得模型在处理这些扰动后误判输入。
对抗样本的生成需要通过一定的优化方法求解,以保证扰动尽可能小同时能够欺骗模型。
2.2 常见的对抗样本攻击方法2.2.1 基于梯度的攻击方法基于梯度的攻击方法是最常见和最早的对抗样本攻击方法之一。
其中,Fast Gradient Sign Method (FGSM) 和 Basic Iterative Method (BIM) 是最典型的方法之一。
FGSM通过计算输入数据的梯度来确定扰动的方向,从而生成对抗样本。
BIM是FGSM的改进版本,通过迭代的方式逐渐添加扰动,提高对抗样本的质量。
2.2.2 基于优化的攻击方法基于优化的攻击方法通过解决优化问题来生成对抗样本。
例如,依据生成对抗网络(Generative Adversarial Network,GAN)的思想,攻击者和防御者可以形成对抗关系,通过迭代学习生成更强大的对抗样本。
此外,还有基于稀疏编码、基于进化算法等多种基于优化的攻击方法。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、对抗样本与对抗攻击从2013年开始,深度学习模型在多种应用上已经能达到甚至超过人类水平,比如人脸识别、物体识别、手写文字识别等等。
在这之前,机器在这些项目的准确率很低,如果机器识别出错了,没人会觉得奇怪。
但是现在,深度学习算法的效果好了起来,去研究算法犯的那些不寻常的错误变得有价值起来。
其中对抗样本在自动驾驶领域应用现状□文/崔岳黄华张明星(北京千方科技股份有限公司北京)[提要]对抗样本是指通过添加干扰产生能够导致机器学习模型产生错误判断的样本。
过去几年人工智能学者取得巨大的突破,深度学习更是让冷冰冰的机器“耳聪目明”,不仅能够从视频中认出猫,还能识别路上的行人和交通信号灯。
科学家和工程师在图像、语音、自然语言处理等方面取得突破性进展,某些领域AI已经超越人类。
然而,研究者也发现,基于深度神经网络模型的系统,很容易被对抗样本欺骗愚弄。
在自动驾驶领域,研究对抗样本的攻击和防御情况,对自动驾驶行业的发展具有深远影响。
关键词:对抗样本;自动驾驶;机器学习;神经网络中图分类号:TP3-05文献标识码:A收录日期:2019年1月10日与需求匹配度高的龙头型企业,同时也要培育一批规模小、灵活度高、社区插入度深的中小型老龄服务机构。
产品集中度不仅仅在普通的护理、保健等方面,也要满足老年人的个性化、定制化、针对化的服务需求。
3、充分发挥行业组织作用。
对于当前的市场乱象以及各种资源不匹配问题,必须要政府或行业组织出台制定相应的服务标准和行业标准。
比如政府可以规定各个行业的规范标准体系,让各个企业为消费者所提供的服务都能够有依靠的标准;而行业协会则可以协助政府制定行业发展规范,发挥行业维权作用,促进老年服务业的健康发展。
4、进一步加强市场监管力度。
加强对老龄服务业的行业监管,强化责任追究制度和风险防控制度,这不仅有利于促进整个行业的规范与健康发展,也是维护老年人消费权益的重要保障。
四、研究结论及展望我国老年消费市场未来潜力巨大,对中国的经济带动力将是前所未有的。
但是当前的市场乱象和产品层次的不合理性是阻碍养老消费市场的两座巨山。
我国老年人口压力的增大是必然的,通过放开二胎等政策短时间内仍旧无法缓解中国的人口老龄化压力,将经济驱动的发展动力转向老年市场是社会和国家的必然选择。
我们唯有通过商业模式的不断探索和产品结构的不断调整,配合国家积极改进和推行老年消费产业相关配套政策,这样才能够充分释放老年消费产业的获利,推动老年消费行业活力的迸发。
主要参考文献:[1]涂奇.人口老龄化对城镇居民消费影响的门限效应研究[J].商业经济研究,2018(18).[2]李小兰.经济新常态下我国人口老龄化问题再审视[J].科学经济社会,2018.36(2).[3]韩曙光.中国人口老龄化与养老产业问题研究[D].新疆大学,2018.[4]肖凤伟.当前我国老年消费品供给结构调整问题研究[D].沈阳师范大学,2018.[5]马肖成.我国老年市场发展状况研究综述[J].中国商论,2018(7).[6]赵一美.浅析老年服装消费者消费心理特点及消费行为特征[J].西部皮革,2017.39(16).[7]黎飒.人口老龄化对我国城镇居民消费的影响研究[D].陕西师范大学,2017.[8]钱婷婷.我国老年消费产业的研究进展与前瞻[J].当代经济管理,2016.38(10).经济/产业《合作经济与科技》No.4s 201976--DOI:10.13665/ki.hzjjykj.2019.07.029一种错误就叫对抗样本。
对抗样本是机器学习模型的一个有趣现象,攻击者通过在源数据上增加人类难以通过感官辨识到的细微改变,但是却可以让机器学习模型接受并做出错误的分类决定。
一个典型的场景就是图像分类模型的对抗样本,通过在图片上叠加精心构造的变化量,在肉眼难以察觉的情况下,让分类模型产生误判。
如图1所示,对于一张熊猫的照片,分类模型可以正确地将其分类为熊猫,但是在加上人为设计的微小噪声之后,虽然人眼是对两张图片看不出分别的,计算机却会以99.3%的概率将其错判为长臂猿。
(图1)研究者们认为,大多数机器学习算法对于对抗干扰很敏感,只要从图像空间中精心选取的方向增加轻微的干扰,就可能会导致这个图像被训练好的神经网络模型误分类。
这种被修改后人类无法明显察觉,却被机器识别错误的数据即为对抗样本,而这整个过程就可以理解为对抗攻击。
基于对抗样本的此种特性,它的存在对于机器学习领域的发展是有潜在危险性的。
例如,在自动驾驶领域,攻击者可以通过对抗样本的方法攻击汽车:只要将自动驾驶汽车需要识别分类的标识进行对抗攻击,让车辆将停车标志解释为“行驶”或其他标志,就能让汽车进行错误判断。
这对于自动驾驶领域的发展无疑是不利的。
因此,研究对抗样本的攻击与防御方式对自动驾驶领域的发展具有重大意义。
二、对抗样本在自动驾驶领域研究现状2016年5月7号,在美国的佛罗里达州,一辆特斯拉径直撞上一辆行驶中的白色大货车,酿成了世界上自动驾驶系统的第一起致命交通事故。
照理说,特斯拉配备的是当今最顶尖的自动驾驶技术,对这里的人工智能来说,区分好一朵白云和一辆白色大货车,不该是最起码的要求吗?事实却是,人工智能在很多地方都不如三岁的小孩,而且很容易被愚弄,黑客们也正在利用这一点。
(一)自动驾驶领域的对抗样本。
除了基于深度神经网络模型的分类系统,很容易被对抗样本欺骗愚弄以外,近期的研究也发现,对抗样本还具有一定的鲁棒性。
研究人员将对抗样本打印到纸面上,仍然可以达到欺骗系统的效果。
也就是说,对抗样本可以通过打印等手段影响我们生活的真实环境中的。
对于汽车自动驾驶系统,攻击者可以通过这样的手段生成一个禁止通行标志的对抗样本,如图2所示,虽然在人眼看来这两张图片没有差别,但是自动识别系统会将其误判为是可以通行的标志。
当自动驾驶系统和人类驾驶员同时驾车行驶时,这足以造成灾难性的后果。
(图2)(二)针对自动驾驶领域对抗样本有效性的讨论。
在图像识别领域,对抗样本是一个非常棘手的问题,研究如何克服它们可以帮助避免潜在的危险。
但是,当图像识别算法应用于实际生活场景下时,对抗样本的有效性是否不会降低,我们是否对真实世界的对抗样本的危害性产生过度担忧?来自UIUC 的一篇论文《NO Need to Worry about Adversarial Examples in Object Detection in Autonomous Vehicles 》提出,应用于停止标志检测的现有对抗扰动方法只能在非常仔细挑选的情况下才有效,在许多实际情况下,特别是无人驾驶不需要担心,因为一个训练好的神经网络绝大部分情况会从不同距离和角度拍摄对抗样本。
前面那些实验忽略了现实世界中物体的关键性质:相比虚拟场景下对图片单一角度和距离的识别,在现实世界中,自动驾驶汽车的相机可以从不同的距离和角度拍下物体来进行识别。
从移动观察者的角度来看,目前现实世界中的对抗样本不会对物体检测造成干扰。
(图3)他们为此在实际环境下做了一系列实验,他们收集了一系列停车标志的图像,然后用三种不同的对抗攻击方法产生干扰样本,同时攻击图像分类器和物体识别器。
然后,打印出受到干扰的图像,从不同的距离拍成照片。
实验发现,很多图片不再具有对抗性。
并检查了不再具有对抗性的图片中原来增加的干扰的受损程度。
在大多数情况下,损坏率很高,并且随着距离的增加而增加。
这说明在真实环境中,距离的变化会对干扰的效果产生影响。
最后,通过一个小实验表明,照片拍摄的角度也可以改变对抗干扰的影响。
如图3所示,实际环境下,在特定的距离和角度下拍摄的带有对抗干扰的停车标志可能会导致深度神经网络物体识别器误识别,但对于大量从不同的距离和角度拍下的停车标志的照片,对抗干扰就无法保证总能愚弄物体检测器了。
图1对抗样本导致图像错误识别图+.007×=x“panda ”57.7%confidence sign (荦x J (θ,x ,y ))“ncmatode ”8.2%confidencex+缀sign (荦x J(θ,x ,y ))“gibbon ”99.3%confidence图3实际场景中停车标志都能被正确识别0.5m1.5mN o AttackFastSign Attack Iterative Attack LBFGS Attack图2正常的交通停止标志(左)及其对抗样本(右)图77--为什么能正确识别大多数图片呢?他们认为原因是干扰的对抗特征对受到干扰的图片的大小比较敏感。
如果从不同的距离进行识别,自动驾驶汽车就不能得出正确结论。
另外,论文中提出了一个关键问题:是否有可能构建出这样的对抗性样本,使得它在大多数不同的距离观察条件下都能让机器错误判断?如果可能,这种对抗特征能够对人类理解深度学习网络的内部表征模式起到巨大的帮助。
如果不能,就可以猜测对抗性样本对现实世界包括自动驾驶领域的危害很小,不用过度担忧。
从实验结论来看,现有的对抗性干扰方法用于停车标志的识别时(在他们的数据集和控制试验之下)只在特定场景下适用。
这似乎也表明,我们可能不需要担心多数现实场景下的对抗样本问题,尤其是在自动驾驶领域。
此文一发,立马引起了争议。
OpenAI 在第一时间便在自己的博客上进行了回击,他们认为物理世界是有稳定的对抗样本的。
随后,来自华盛顿大学、密西根大学安娜堡分校、纽约州立大学石溪分校、加利福尼亚大学伯克利分校的8名工作人员,他们提出了一种新的攻击算法,而这种算法能够有效地攻击无人驾驶的神经网络。
他们提出了一种新的对抗样本攻击算法———鲁棒物理干扰(RP2):这种算法产生干扰的方式是在不同的条件下拍摄图像。
通过此对抗算法,可以产生模拟破坏或艺术的空间约束性干扰,以减少偶然观察者检测到的似然值。
他们通过实验展示了此算法所产生的对抗样本通过使用捕捉物理世界条件的评估方法,在各种条件下实现真正的道路标志识别的高成功率。
事实上,他们实现并评估了两次攻击,一个是以100%的概率将停车标志错误分类为测试条件下的速度限制标志;另一个是以100%的概率将右转标志错误分类为测试条件下的停车或添加车道标志。
(图4)顺着这个思路,研究人员又针对对抗样本对对象检测工具的影响进行了实验。
与分类器相比,对象检测工具在处理整个图像面临更多挑战,对象检测工具还需要预测上下文信息,如目标对象在场景中的方位等。
这次,如图4所示,是进行实验的实物对抗样本。
研究人员展示的是一个叫YOLO 的对象检测器,YOLO 检测器是一个流行的、实时的先进算法,拥有良好的实时性能。
检测的对象是一个现实场景中真正的停车标志,为了更好地测试YOLO 的检测性能,研究人员还录制了视频进行动态检测。
逐帧分析视频可以发现,YOLO 在实验中几乎在所有帧上都完全没有感知到停车标志。