Sadece bir pikseli değiştirin, böylece sinir ağı kediyi bile tanıyamaz | Kağıt + Kod
Xia Yi derleyin ve organize edin
Qubit Üretildi | Genel Hesap QbitAI
Sinir ağını kandırmak ve yanlış görüntüyü tanımasını istiyorsanız, görüntüde kaç değişiklik yapılması gerekiyor?
Bir piksel yeterlidir.
Japonya'dan yapılan bir araştırma şunu gösterdi: Resimdeki bir pikseli değiştirin , Sinir ağının yanlış grafiği tanımasını sağlayabilir ve hatta belirli bir sonuç döndürmesini sağlayabilir.
Araştırma, Japonya'daki Kyushu Üniversitesi'nden Jiawei Su, Danilo Vasconcellos Vargas ve Kouichi Sakurai tarafından ortaklaşa tamamlandı.Sadece bir pikseli değiştirerek sinir ağını kandırmanın sihirli tekniğini detaylandıran bir kağıt yazdılar, aynı zamanda karşılık gelen açık kaynaklı Keras uygulaması . Bu teknolojiye " Tek piksellik saldırı "(Bir Piksel Saldırısı).
VGG'nin ünlü isminin, kedinin bile yanlış olduğunu itiraf etmesi üzücü
CIFAR-10 ve ImageNet veri setlerinde, tek pikselli saldırı sırasıyla% 68.36 ve% 41.22 başarı oranlarına ulaştı.
Bir piksel bir sinir ağına nasıl saldırır?
Deney, CIFAR-10 ve ImageNet veri kümeleri üzerinde gerçekleştirildi, örnek olarak CIFAR-10'u ele alalım. CIFAR-10, 10 kategoride 60.00032 × 32 piksel RGB renkli resim içeren bir görüntü tanıma veri setidir. Sinir ağının bu veri setindeki görevi, resmin sınıflandırmasını doğru bir şekilde tahmin etmektir.
Bir piksel saldırısının amacı, resimden bir piksel seçerek, rengini değiştirerek, sinir ağının kategori etiketi çıktısını değiştirerek, doğru kategoride güveni azaltarak ve diğer kategorideki güveni artırarak çatışmalı bir görüntü oluşturmaktır. Güven. Başka bir deyişle, sinir ağının onu yanlış kategoriye ayırmasına izin verin.
Görev basit görünüyor, ancak 32 × 32 = 1024 piksel, hangisini seçmeliyim? Hangi renge geçilecek?
Bu araştırmacılar bir isim kullandı Diferansiyel Evrim (Diferansiyel Evrim, DE) Evrimsel Algoritma (Evrimsel Algoritma).
Spesifik olarak, önce pikselleri rasgele değiştirerek ve bunları sinir ağına girerek 400 rakip örnek oluşturuyoruz; daha sonra, bu değiştirilmiş piksellerin konumlarını ve renklerini birleştirerek 400 rakip örnek oluşturup bunları sinir ağına giriyoruz; sonra Daha sonra, yeni bir örnek ebeveyn ile karşılaştırılırsa, bu da sinir ağının doğru kategorideki güvenini azaltır, şu anda bilinen en uygun çözüm olarak ebeveyni bu örnekteki değiştirilmiş piksellerle değiştirecektir.
Bundan sonra, yukarıdaki üç adım birkaç kez tekrarlanmalı ve ardından son yinelemede, sinir ağının doğru kategoride güvenini en aza indiren rakip örnek seçilir.
Doğru kategorinin nihai güveninden daha yüksek güven duyan başka kategoriler varsa, başarılı oluruz. Seçilen son numune istediğimiz sonuçtur.
Tamamen bağlı sinir ağında (AllConv), Ağ
Network (NiN), VGG16 ve AlexNet'in testlerinde, bu yöntemin başarı oranı aşağıdaki tabloda gösterilmektedir:
Tablodaki hedefli saldırı, sinir ağının saldırıda belirli bir kategori için görüntüyü karıştırmasını ifade eder.
Birkaç araştırmacı da bu yöntemi ImageNet'te kullandı ve görüntü boyutunu CIFAR-10 görüntüsünün yaklaşık 50 katı olan 227 × 227 olarak birleştirdi.
ImageNet'teki testler, bu sinir ağlarını aldatma yönteminin daha yüksek çözünürlüklü görüntüler için de uygun olduğunu göstermektedir.
Makaleye göre DE yöntemi, gradyan tabanlı yöntem kadar kolay bir yerel minimuma düşmeyecek ve hedef sistem hakkında çok fazla bilgi gerektirmeyecek, bu nedenle üretilen rakip örnekler çeşitli sinir ağları için uygundur.
