根據胡子、鼻子較短判斷,左邊的似乎是貓。但是再看看右邊,這明顯是隻狼狗吧(詭異的戴着蝴蝶結的狼狗orz)。但是這明明是一張圖啊?怎麼回事?
都是深度學習搞的鬼。
這是Ian Goodfellow大神2月22号最新論文裡的成果。對抗性幹擾,既能騙過神經網絡,也能騙過人眼了。
先回憶一下我們是怎麼忽悠神經網絡的。
加上這個五彩缤紛的小貼紙後,不論是什麼圖檔,都會被神經網絡識别成“烤面包機”。
原理其實很簡單,我們在對圖像處理時,為了簡化圖像本身的資料量,提取了圖像的關鍵特征進行識别。當這個小貼紙加入後,它所攜帶的像素資料嚴重影響到了原來圖像的關鍵特征,進而擾亂已經訓練好的神經網絡,導緻識别結果錯誤。
在Ian Goodfellow的最新論文裡,這種缺陷除了擾亂圖像識别算法,還可以加以利用,生成一些人眼都無法辨識的圖檔。
論文位址:
https://arxiv.org/abs/1802.08195
在大資料文摘公衆号背景對話框内回複“忽悠”即可下載下傳這篇論文~
以下是論文部分内容:
機器學習模型很容易受到對抗特征的攻擊,稍微将待識别的圖像進行改動,識别結果就大相徑庭。然而,人類處理這種問題十分容易而且準确率極高。那麼人腦是如何識别圖像的呢?我們利用最新的技術,将對抗特性從計算機視覺現有的模型及參數轉移到還未開發的模型中去,通過修改這種模型去接近人類視覺系統的處理原理。研究結果表明,通過人為轉移計算機視覺模型中的對抗特性生成的圖檔,在有限時間裡,會影響人類的識别結果。
實驗采用的資料集來自ImageNet,研究人員篩選了三組進行分析:
1 寵物類(貓和狗)
2 危險動物類(蜘蛛和蛇)
3 蔬菜類(西蘭花和卷心菜)
研究者使用了K個CNN網絡,每個模型包括以下架構:
1 Inception V3
2 Inception V4
3 Inception ResNet V2
4 ResNet V2 50
5 ResNet V2 101
6 ResNet V2 152
生成對抗圖像的目的:給圖像添加幹擾,使模型将圖像A識别成圖像B,同理,對圖像B也做相同處理,針對每個圖像構造不同的幹擾,幹擾的大小取決于最大幹擾值。
原理:
式中,Xn是原始圖像資料,ytarget是目标分類結果,Xadv是添加擾動後的圖像,α是梯度下降的步長,eps是擾動值。對X執行疊代梯度下降獲得Xadv。
對于每組圖像分别用以下四種方式顯示:
1 原圖
2 生成的對抗圖像
3 對抗翻轉圖像
4 誤分類圖像
圖中,使用了不同模型來生成對抗圖像。從左往右,随着訓練模型的數目不斷增加,圖像中的貓看上去更像狗。eps代表圖像中添加的對抗擾動值,即便當eps=8的時候,圖像中的貓看起來也更像一隻狗。
常見生成具有對抗特性圖檔的方式:
1 紋理修飾
2 修改對比度
3 邊緣增強
4 邊緣破環
用這種方式生成的對抗圖像,由于人們明白其産生原理,是以需要加入更大的幹擾才會對人類的辨識産生影響。
常見的生成對抗圖像的方式
結論
1、在有限時間内,生成的對抗圖像使人難以辨認
2、這種生成對抗圖像的方式可以用在音頻、視訊,會給人類社會帶來一定的風險
3、生成的對抗圖像可以用在某些場合,作為一種醒目的提示
4、但是這種圖像,對于人來說,可能剛開始看上去難以辨認,經過一定時間的反複觀察和思考,人眼還是可以正确識别出圖像中的物體(比如是貓還是狗)。進而引發思考,機器學習中是否可以加入這種回報和動态遞歸以提高分類準确率?
原文釋出時間為:2018-02-24
本文作者:文摘菌