雷锋网按:这里是,雷锋字幕组编译的Two minutes paper专栏,每周带大家用碎片工夫阅览前沿技术,理解AI范畴的最新研讨效果。
原标题 One Pixel Attack Defeats Neural Networks | Two Minute Papers #240
翻译 | 于泽平 字幕 | 凡江 整理 | 李逸凡 吴璇
▷每周一篇2分钟论文视频解读
骗过神经网络,我们最少需求改动多少像素(pixel)呢?猜猜是多少,能够你会觉得,怎样着都要100才够,但论文证明了,攻击大少数神经网络只需求修正一个像素就行。
在这篇《One pixel attack for fooling deep neural networks》论文中,研讨人员剖析了一种在极端限制情形下(只修正一个像素)的攻击。他们提出了一种基于差分退化(differential evolution)的单像素对立搅扰新办法。
后果标明,70.97%的自然图像至多有一个分类目的会被搅扰,而形成搅扰只需求修正相信均值为97.47%的一个像素。因而,在极端限制情形下,攻击探究出了不同的对立机器学习办法。这也标明以后的深度神经网络也容易遭到这类低维攻击。
神经网络通常不直接判别一个类别,而是经过一些相信值来判别。相信值代表神经网络它有多确信看到的是只拉布拉多犬还是一只老虎猫。我们通常比照一切的相信值,并选出最高的,检查它们使神经网络对正确类别的相信值下降了多少,接着我们丢弃效果不好的像素,并持续搜索最有希望的像素,我们将这个进程称为差别退化。
假如这个进程完成的很好,最终正确类别的相信值将会变的很低,由于神经网路将能预测另一个类别,一旦发作这种状况,代表神经网络成功被诈骗了,这也意味我们需求检查神经网路,并取得其相信值。
当然,也有少量关于训练鲁棒性的神经网络的研讨,使这些神经网络可以接受更多对立攻击,对立攻击有着许多中央值得我们去发掘以及探究。
论文: https://arxiv.org/abs/1710.08864
Github: https://github.com/Hyperparticle/one-pixel-attack-keras
雷锋字幕组正在招募中, 扫描下方二维码,备注“雷锋字幕组+姓名”参加我们。
简单来说,创业有四步:一创意、二技术、三产品、四市场。对于停留在‘创意’阶段的团队,你们的难点不在于找钱,而在于找人。”结合自身微软背景及创业经验。
雷锋网雷锋网 (大众号:雷锋网)
。
