对抗样本的学习拖了很多天,最近补上。
今天主要看了一篇论文和对论文的复现,附上论文链接和代码
synthesizing-robust-adversarial-examples https://arxiv.org/abs/1707.07397
(综合强大的对抗样本)
代码搬运:https://github.com/prabhant/synthesizing-robust-adversarial-examples
摘要
实现对抗性的算法,并在三维中证明存在,3D打印出来的物体具有对抗样本的性质。
实验结果
3D打印的乌龟一直被分类为步枪,而正常乌龟则分类正常。
本文创新点:
1、 引入EOT期望转换算法,并证明有效
2、 3D渲染得到的实物具有对抗性
EOT(Expectation Over Transformation期望转换)
最大化目标类的对数似然,将每一个像素都归一化到【0,1】。原始输入X,函数P(),X撇更改后的输入,yt目标类,公式如下:
EOT算法限制原始输入和目标输入的距离(小于の值),使得原始X不会更改过大。将x和x撇距离最小化,使用随机梯度下降将x撇最大化,在每一个梯度上独立采样变换。
关于变换:
在2D中每个像素Ax+b线性随机变换t(x)= Ax + b;
在3D中t(x)= Mx + b, M为坐标图,使用矩阵乘法和加法,渲染每个像素的线性组合;
变换函数t(x) 将纹理映射到渲染对象,包括渲染,照明,旋转,平移和透视。
(优化目标分类)
实现过程:
采用tensorflow中的Inception V3 模型,随机选择ImageNet上的数据集,在2D和3D中实现对抗样本。2D: 变换方式(加因子重新缩放,旋转,变亮或变暗,添加高斯噪声)我们在拉格朗日中使用固定的λ约束视觉相似性,对抗性96.4%。3D:在3D模型中选择最小的(入)值,对抗性90%。
局限性(个人观点):
1、 转换太小不能产生对抗样本,X和x撇之间的差值。
2、 太大不能将像素值都扰动到【0,1】区间。