脆弱的神经网络:UC Berkeley详解对抗样本生成机制!
|
用于「诱骗」神经收集的反抗样本(adversarial example)是近期计较机视觉,以及呆板进修规模的热点研究偏向。只有相识反抗样本,我们才气找到构建稳定呆板进修算法的思绪。本文中,UC Berkeley 的研究者们展示了两种反抗样本的建造要领,并对其背后的道理举办相识读。 通过神经收集举办密谋——听起来很猖獗吧?大概有一天,这真的也许上演,不外方法也许与你想象中差异。显然,加以实习的神经收集可以或许驾驶无人机或操纵其他大局限杀伤性兵器。可是,即即是无害的(此刻可用的)收集——譬喻,用于驾驶汽车的收集——也也许酿成车主的仇人。这是由于,神经收集很是轻易被「反抗样本(adversarial example)」进攻。 在神经收集中,导致收集输出不正确的输入被称为反抗样本。我们最好通过一个例子来声名。让我们从左边这张图开始。在某些神经收集中,这张图像被以为是熊猫的置信度是 57.7%,且其被分类为熊猫类此外置信度是全部种别中最高的,因此收集得出一个结论:图像中有一只熊猫。可是,通过添加很是少量的全心结构的噪声,可以获得一个这样的图像(右图):对付人类而言,它和左图险些千篇一律,可是收集却以为,其被分类为「长臂猿」的置信度高达 99.3%。这其实太猖獗了!
上图源自: Explaining and Harnessing Adversarial Examples,Goodfellow et al 那么,反抗样本怎样举办密谋呢?想象一下,假如用一个反抗样本替代一个停车符号——也就是说,人类可以当即辨认这是停车符号,但神经收集不能。此刻,假如把这个符号放在一个忙碌的交错路口。当自动驾驶汽车靠近交错路口时,车载神经收集将无法辨认停车符号,直接继承行驶,从而也许导致搭客衰亡(理论上)。 以上只是那些伟大、稍显危言耸听的例子之一,着实还会有更多操作反抗样本造成危险的例子。譬喻,iPhone X 的「Face ID」解锁成果依靠神经收集辨认人脸,因此轻易受到反抗性进攻。人们可以通过构建反抗图像,避开 Face ID 安详成果。其他生物辨认安详体系也将面对风险:通过行使反抗样本,犯科或不合宜的内容也许会绕开基于神经收集的内容过滤器。这些反抗样本的存在意味着,含有深度进修模子的体系现实上有极高的安详风险。
为了领略反抗样本,你可以把它们想象成神经收集的「幻觉」。既然幻觉可以骗过人的大脑,同样地,反抗样本也能骗过神经收集。 上面这个熊猫反抗样本是一个有针对性的 (targeted) 例子。少量全心结构的噪声被添加图像中,从而导致神经收集对图像举办了错误的分类。然而,这个图像在人类看来和之前一样。尚有一些无针对性 (non-targeted) 的例子,它们只是简质朴验找到某个能蒙骗神经收集的输入。对付人类来说,这种输入看起来也许像是白噪声。可是,由于我们没有被限定为探求对人而言相同某物的输入,以是这个题目要轻易得多。 我们可以找到快要全部神经收集的反抗样本。纵然是那些最先辈的模子,有所谓「超人类」的手段,也稍微地受此题目困扰。究竟上,建设反抗样本很是简朴。在本文中,我们将汇报你怎样做到。用于开始天生你本身的反抗样本的全部所需代码等资料都可以在这个 github 中找到:https://github.com/dangeng/Simple_Adversarial_Examples
上图展示了反抗样本的结果 MNIST 中的反抗样本 这一部门的代码可以在下面的链接中找到(不外阅读本文并不必要下载代码):https://github.com/dangeng/Simple_Adversarial_Examples 我们将试着诱骗一个平凡的前馈神经收集,它已经在 MNIST 数据集上颠末实习。MNIST 是 28×28 像素手写数字图像的数据集,就像下面这样:
6 张 MNIST 图像并排摆放
(编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
