時間:2017-07-18 來源:互聯網 瀏覽量:
看來,我們還是不能對對抗樣本問題掉以輕心。
上周,康奈爾大學的一篇論文表示,當圖像識別算法應用於實際生活場景下(比如自動駕駛)時,可能不需要那麼擔心對抗樣本問題。他們做了一係列實驗,從不同角度和方向拍下受到幹擾的停車標誌的圖片,將圖像進行識別,結果表明,現有的對抗性幹擾隻在特定場景下適用。
康奈爾大學最新研究:對抗性樣本是紙老虎,一出門就不好使!
而近日,針對康奈爾大學的論文,OpenAI表示,他們已經生成了一些圖像 ,當從不同大小和視角來觀察時,能可靠地愚弄神經網絡識別器。評論編譯如下:
上圖是通過標準彩色打印機打印出的貓咪照片,不管將它怎麼縮放或旋轉,都能愚弄識別器,讓它認為圖片裏的是顯示屏或台式電腦。這張圖在人眼看來有點失真,OpenAI期望進一步調整參數,生成人眼看起來自然,但能騙過機器的對抗樣本,這樣的樣本會有很高的危險性。
現有的對抗樣本在圖像不斷變化的情況下失效了。上圖展示了同一張受到對抗幹擾的小貓圖片,在經ImageNet訓練的Inception v3上會被錯誤地識別為台式電腦。但將圖片僅僅放大1.002倍,就會導致識別率的改變:正確標簽“小花貓”覆蓋了對抗標簽“台式電腦”。
不過他們猜想,經過一定的努力可能會生成一個具有魯棒性的對抗樣本,因為已經證實了對抗樣本能轉移到現實世界。下麵是他們生成的兩個對抗樣本。
大小無關的對抗樣本
可以用一種稱為投影梯度下降法(projected gradient descent)的優化方法,來找到針對圖像的微小擾動,隨意的愚弄識別器來創建對抗樣本。
這種優化不是為了發現從單一視角具有對抗性的輸入圖像。在識別圖像之前,通過眾多隨機識別器隨意調整輸入圖像大小,通過對抗這樣眾多的輸入來優化,產生了大小無關的魯棒性對抗樣本。
上圖中不斷調整圖片的大小,仍能穩定愚弄識別器。 即 使隻去修改與貓相對應的像素,仍能創造出在所有大小下都具有對抗性的受幹擾圖片。
變化無關的對抗樣本
通過對訓練幹擾增加隨機旋轉、變化、縮放、噪音以及均值漂移,上麵提到的方法同樣能產生在任何變化下都保持對抗性的輸入。
上圖是變化無關的對抗樣本。值得注意的是,圖像顯然比前麵的例子受到了更多幹擾。得到這個結果很好解釋:微弱的對抗性幹擾很難在經過多種不同的變換後還保持對抗性。
在實驗時,變化是隨機采樣的,這證明他們生成的樣本對所有變化都具有幹擾性。
