“Explaining and Harnessing Adversarial Examples(对抗样本的解释和利用)”
如何让神经网络把熊猫识别为秃鹫
正向传播与反向传播的区别、
这个博客表达了对此论文的一些看法。
通过利用比你想象更简单(更线性!)的网络事实来做到这一点。我们会使用一个线性函数来逼近这个网络!
生成对抗网络的发明人Ian Goodfellow在《Explaining and Harnessing Adversarial Examples》中提出了一种更快速方便的方法来产生对抗样本:
技术分享
这种方法的思想非常简单,就是让输入图像朝着让类别置信度降低的方向上移动一个在各个维度上都是技术分享这么大小的一步。因为输入通常是高维的(比如224x224),再加上现在的主流神经网络结构都是ReLU系的激活函数,线性程度其实很高,所以即使是很小的技术分享,每个维度的效果加一块,通常也足以对结果产生很大的影响,比如下面这样:
正则化
激活函数
优化问题的解决
损失函数
梯度
下面是L1正则化和L2正则化的作用,这些表述可以在很多文章中找到。
L1正则化和L2正则化可以看做是损失函数的惩罚项。所谓『惩罚』是指对损失函数中的某些参数做一些限制。对于线性回归模型,使用L1正则化的模型建叫做Lasso回归,使用L2正则化的模型叫做Ridge回归(岭回归)。L1正则化是指权值向量w中各个元素的绝对值之和,通常表示为||w||1
L2正则化是指权值向量w中各个元素的平方和然后再求平方根(可以看到Ridge回归的L2正则化项有平方符号),通常表示为||w||2
L1正则化可以产生稀疏权值矩阵,即产生一个稀疏模型,可以用于特征选择
L2正则化可以防止模型过拟合(overfitting);一定程度上,L1也可以防止过拟合
Adversarial Examples and their implications - Deep Learning bits #3这篇博客主要引用别人论文介绍了概念。应用和几种对抗样本防御方法。
对我比较新颖的一点是介绍了图像误分类的区别:
一种是图像本身有歧义或者裁剪失败,再一种图像中包含很多类别。这些都可以造成分类器分类失败,但对抗样本是指它不是正常产生的,而是人为构造的。
##我们可以利用对抗样本做什么
绕过安全过滤机制加载图片
通过穿戴特别眼镜假冒他人编过人脸识别装置
改变交通标志误导自动驾驶
伪装武器躲避视频检测
绕过声音或指纹识别
##怎样防范
该博客提出防止模型隐私泄露这种方法是不值得采用的。并列举几种论文中的方法,等详细看了之后在写。
