数据集链接: https://pan.baidu.com/s/1_-8F0DAyHyZSS2M7u-2NYQ 提取码: ex6y 原始数据概括性度量 #-*- coding: utf-8 -*- import numpy as np import pandas as pd inputfile = 'D:\下载\data\inputdata1.csv' #输入的数据文件 data = pd.read_csv(inputfile) #读取数据 r = [data.min(), data.max(), data.mean(), data.std()] #依次计算最小值、最大值、均值、标准差 r =...

数据集链接: https://pan.baidu.com/s/1lYtcc2zlk07Cv9fnto99DA 提取码: sy92 去除冗余属性以及数据离差标准化 #-*- coding: utf-8 -*- #数据标准化到[0,1] import pandas as pd #参数初始化 filename = 'D:/下载/data/input/business_circle.xls' #原始数据文件 standardizedfile = 'D:/下载/data/output/standardized.xls' #标准化后数据保存路径 data = pd.read_excel(filena...

数据集链接: https://pan.baidu.com/s/19EGElx2Ylb-DpQRrJ0F7og 提取码: tg7c 将原始数据的‘评论’一列抽取 抽取代码 #-*- coding: utf-8 -*- import pandas as pd inputfile = 'D:\下载\data\input\huizong.csv' #评论汇总文件 outputfile = 'D:\下载\data\output\meidi_jd.txt' #评论提取后保存路径 data = pd.read_csv(inputfile, encoding = 'utf-8') data = data[...

传统对抗样本目的是使模型分类错误，本文通过则是使模型执行特定任务（攻击者设定），且该任务可以未被训练过。 We introduce attacks that instead reprogram the target model to perform a task chosen by the attacker—without the attacker needing to specify or compute the desired output for each test-time input. This attack finds a single adversarial perturb...

本文提出了一个防御算法，在不改变深度神经网络的结构并且在尽可能小的影响模型准确率的前提下能够有效地抵御对抗样本的攻击。 We use the knowledge extracted during distillation to reduce the amplitude of network gradients exploited by adversaries to craft adversarial samples. If adversarial gradients are high, crafting adversarial samples becomes easier becaus...

文章目录 摘要 深度学习是当前人工智能崛起的核心。在计算机视觉领域，它已经成为从自动驾驶汽车到监控和安全等各种应用的主力。虽然深度神经网络在解决复杂问题方面取得了惊人的成功(通常超出了人类的能力)，但最近的研究表明，它们很容易受到对手的攻击，这种攻击的形式是对输入的微妙扰动，导致模型预测不正确的输出。对于图像，这样的扰动往往太小而无法察觉，但它们完全欺骗了深度学习模型。对抗性攻击严重威胁了深度学习在实践中的成功。这一事实最近导致了这一方向的大量捐款涌入。本文首次对计算机视觉中深度学习的对抗性攻击进行了全面的调查。我们回顾了设计对抗性攻击的工作，分析了此类攻击的存在，并提...

生成对抗样本有两个要求：攻击成功率和图像保真度指标。 增加扰动可以确保对抗样本的攻击成功率很高； 但是生成的对抗样本隐蔽性很差。 为了在攻击成功率和图像保真度之间取折衷，提出了一种名为AdvJND的方法，该方法在生成对抗样本时在失真函数的约束下添加了视觉模型系数，该系数用来衡量视觉上的差异。AdvJND算法生成的对抗样本产生的梯度分布与原始输入相似。该方法可以认为是一种辅助生成方法，用来改善生成算法成功率较高但图像保真度不足的问题。 生成对抗样本的问题可以看成是一个优化问题： JND系数可以隐藏高斯噪声，因为JND系数大的区域是具有复杂图像纹理的区域。 此外，我们的HVS(human vi...

本文提出了ATN（Adversarial Transformation Network）方法来生成对抗样本。之前的许多方法都是利用梯度信息进行攻击，本文通过训练一个神经网络，将原图作为输入，输出为对抗样本。在给定原始输入的情况下，对分类器的输出进行最小的修改，同时限制新分类以匹配对抗目标类。 ATN神经网络可以被定义为： θ \theta θ是神经网络的参数 f f f是目标网络 优化问题为： L x L_{x} Lx​是视觉损失 L y L_{y} Ly​是类别损失 β \beta β是平衡这两个损失函数的权重系数 在本文中，将 L y L_{y} Ly​定义为 rerank...

本文指出在现实世界的场景下，机器学习系统也是非常脆弱的。并提出了BIM&ILCM算法，可用于现实世界场景下的对抗样本生成。 论文主要内容： 探讨了为在物理世界中运行的机器学习系统创建对抗样本的可能性 提出了两种方法来生成对抗样本，BIM&ILCM： 引入破坏率来表示现实世界中的变换对对抗样本的影响 损失函数—交叉熵损失(这里省略了网络权重 θ \theta θ) J ( X , y ) = − l o g P ( y ∣ X ) J(X,y)=-logP(y|X) J(X,y)=−logP(y∣X) Clip函数— C l i p x , ϵ X   ′ Cl...

本文提出一个基于动量(Momentum)的迭代算法，该方法通过梯度以迭代的方式对输入进行扰动以最大化损失函数，并且该方法还会在迭代过程中沿损失函数的梯度方向累加速度矢量，目的是稳定更新方向并避免糟糕的局部最大值。从而产生更好的可迁移(transferable)的对抗样本，解决了对抗样本生成算法对于黑盒模型的低成功率问题。 文中提到： 对抗样本迁移性的现象是由于不同的机器学习模型在数据点周围学习到相似的决策边界这一特性导致的，使得针对一种模型设计的对抗样本也对其他模型有效。 基于优化的方法以及基于迭代的方法生成的对抗样本可转移性都较差，对于黑盒攻击的成功率也较低。 基于单步梯度的方法...

本文提出了针对Denfensive distillation这种防御措施的C&W算法（基于三种不同距离的对抗样本生成算法），同时也具有一定的迁移性。 本文把构建对抗样本的过程转化为一个最优化问题： 其中 D D D是衡量原始图像与对抗样本之间的距离, 三种不同距离分别为 L 0 L_{0} L0​范数 L 2 L_{2} L2​范数和 L ∞ L_{\infty } L∞​范数。 但由于 C ( x + δ ) = t C(x+δ)=t C(x+δ)=t这个问题很难直接求解，因此作者通过构造函数 f ( x , t ) f(x,t) f(x,t) 使得在 f ( x , t ) ≤ ...

本文目标是寻求最小的扰动来达到生成对抗样本的目标，因此提出了DeepFool的算法来生成扰动，并且提出了一种量化分类器鲁棒性的方法。 这是第一个通过计算出最小的必要扰动，并应用到对抗样本构建的方法，使用的限制扰动规模的方法是L2范数。最终得到的对抗样本效果要优于前面的FGSM和JSMA方法，但是这三者都需要比较大的计算资源。 根据样本 x x x，标签 k ^ ( x ) \hat{k}(x) k^(x)： 可以称 Δ ( x , k ^ ) \Delta (x,\hat{k}) Δ(x,k^)为 k ^ \hat{k} k^在点 x x x上的鲁棒性。 分类器 k ^ \hat{k} k^...

早期关于对抗样本产生原因的被认为是由于神经网络的非线性和过拟合，但是这篇论文证明对抗样本是由于神经网络在高维空间中的线性属性产生的。同时，这篇论文提出了一个能够简单快速的生成对抗样本的方法（FGSM）。 论文主要内容总结： 模型的线性属性让其更容易被训练，而其非线性让其容易抵御对抗扰动的攻击，即容易优化的模型也容易被扰动。 对抗性训练可以提高模型对对抗样本的鲁棒性。 通用的正则化策略不会改善模型对对抗样本的脆弱性，但如果使用非线性模型族（例如RBF网络）则可以保证模型的鲁棒性。 对抗样本是由于神经网络在高维空间中的线性属性产生的。 FGSM的实质是输入图片在模型的权重方向上增加...

论文内容总结 首次提出假反例攻击，即：生成人类无法识别的图片，却能够让神经网络以高置信度分类成某个类别 使用了多种不同的方法生成图片，称为“fooling images” 普通的EA算法，对图片的某个像素进行变异、进化 CPPN EA算法，可以为图像提供一些几何特性，如对称等 梯度上升 将fooling images添加到数据集中，作为n+1类，重新训练网络，然后将得到的网络再生成fooling images，再训练，如此迭代，来提高模型的防御能力。 介绍了在MNIST数据集和ImageNet数据集上进行实验的区别 在MNIST数据集...