歡迎大家來到圖像分類專欄,深度學習分類模型雖然性能強大,但是也常常會因為受到小的干擾而性能崩潰,對抗攻擊就是專門研究如何提高網絡模型魯棒性的方法,本文簡要介紹相關內容。
作者 | 郭冰洋
編輯 | 言有三
對於人類而言,僅僅通過所接收到的視覺信息並不能完全幫助我們做出正確、迅速的判定,還需要結合我們的生活經驗做出相應的反應,以確定哪些信息是真實可靠的,而哪些信息是虛假偽造的,從而選取最適合的信息並做出最終的決策。
基於深度學習的圖像分類網絡,大多是在精心製作的數據集下進行訓練,並完成相應的部署,對於數據集之外的圖像或稍加改造的圖像,網絡的識別能力往往會受到一定的影響,比如下圖中的雪山和河豚,在添加完相應的噪聲之後被模型識別為了狗和螃蟹。
在此現象之下,對抗攻擊(Adversarial Attack)開始加入到網絡模型魯棒性的考查之中。通過添加不同的噪聲或對圖像的某些區域進行一定的改造生成對抗樣本,以此樣本對網絡模型進行攻擊以達到混淆網絡的目的,即對抗攻擊。而添加的這些干擾信息,在人眼看來是沒有任何區別的,但是對於網絡模型而言,某些數值的變化便會引起「牽一髮而動全身」的影響。這在實際應用中將是非常重大的判定失誤,如果發生在安檢、安防等領域,將會出現不可估量的問題。
本篇文章我們就來談談對抗攻擊對圖像分類網絡的影響,了解其攻擊方式和現有的解決措施。
2.1 白盒攻擊(White-box Attacks)
攻擊者已知模型內部的所有信息和參數,基於給定模型的梯度生成對抗樣本,對網絡進行攻擊。
2.2 黑盒攻擊(Black-box Attacks)
當攻擊者無法訪問模型詳細信息時,白盒攻擊顯然不適用,黑盒攻擊即不了解模型的參數和結構信息,僅通過模型的輸入和輸出,生成對抗樣本,再對網絡進行攻擊。
現實生活中相應系統的保密程度還是很可靠的,模型的信息完全泄露的情況也很少,因此白盒攻擊的情況要遠遠少於黑盒攻擊。但二者的思想均是一致的,通過梯度信息以生成對抗樣本,從而達到欺騙網絡模型的目的。
3.1 ALP
Adversarial Logit Paring (ALP)[1]是一種對抗性訓練方法,通過對一個乾淨圖像的網絡和它的對抗樣本進行類似的預測,其思想可以解釋為使用清潔圖像的預測結果作為「無噪聲」參考,使對抗樣本學習清潔圖像的特徵,以達到去噪的目的。該方法在ImageNet數據集上對白盒攻擊和黑盒攻擊分別取得了 55.4%和77.3%的準確率。
3.2 Pixel Denoising
Pixel Denosing是以圖像去噪的思想避免對抗攻擊的干擾,其中代表性的是Liao等[2]提出的在網絡高級別的特徵圖上設置一個去噪模塊,以促進淺層網絡部分更好的學習「乾淨」的特徵。
3.3 Non-differentiable Transform
無論是白盒攻擊還是黑盒攻擊,其核心思想是對網絡的梯度和參數進行估計,以完成對抗樣本的生成。Guo等[3]提出採用更加多樣化的不可微圖像變換操作(Non-differentiable Transform)以增加網絡梯度預測的難度,通過拼接、方差最小化等操作以達到防禦的目的。
3.4 Feature Level
通過觀察網絡特徵圖來監測干擾信息的影響,是Xie等[4]提出的一種全新思路,即對比清潔圖像和對抗樣本的特徵圖變化(如上圖所示),從而設計一種更加有效直觀的去噪模塊,以增強網絡模型的魯棒性,同樣取得了非常有效的結果。
除此之外,諸多研究人員針對梯度下降算法提出了混淆梯度(Obfuscated gradients)的防禦機制,在網絡參數更新的梯度優化階段採用離散梯度、隨機梯度與梯度爆炸等方法,實現更好的防禦措施。
參考文獻:
1 H. Kannan, A. Kurakin, and I. Goodfellow. Adversarial logit
pairing. In NIPS, 2018.
2 F. Liao, M. Liang, Y. Dong, and T. Pang. Defense against
adversarial attacks using high-level representation guided
denoiser. In CVPR, 2018
3 C. Guo, M. Rana, M. Cisse, and L. van der Maaten. Countering
adversarial images using input transformations. In ICLR,
2018.
4 Cihang Xie,Yuxin Wu,Laurens van der Maaten,Alan Yuille and Kaiming He. Feature Denoising for Improving Adversarial Robustness.In CVPR 2019
總結
對抗攻擊是圖像分類網絡模型面臨的一大挑戰,日後也將是識別、分割模型的一大幹擾,有效地解決對抗樣本的影響,增加網絡模型的魯棒性和安全性,也是我們需要進一步研究的內容。