其中 , 我认为 One Pixel Attack[2]的工作效果最显著 , 这篇论文仅改变一个像素就能完成对整张图片的攻击 。 我认为最有新意的一点是 , 作者运用了差分进化算法的思想 , 通过每一代不断变异然后“优胜劣汰” , 最后可以找到足以攻击整张图片的一个像素点和其RGB值的修改值 , 这种方法的优点是属于黑盒攻击 , 不需要知道网络参数等任何信息 。 效果如下 , 我认为很显著:
Attacks on Semantic Segmentation and Object Detection
语义分割任务的对抗攻击要比分类任务要难很多 , 语义分割的对抗样本生成[4]利用了Dense Adversary Generation 的方法 , 通过一组pixels/proposal 来优化生成对抗样本损失函数 , 然后用所生成的对抗样本来攻击基于深度学习的分割和检测网络 。
这篇论文的亮点我认为在于将对抗攻击的概念转换为对抗样本生成的概念 , 将一个攻击任务转换为生成任务 , 这就给我们提供了一种新的攻击思路:将这个任务转换为如何选取损失函数、如何搭建生成模型使得生成的对抗样本在攻击图片时有更好的效果 。 这种概念的转换使得对抗攻击不再拘束于传统的基于 FGSM 算法 , 也将更多的生成模型引入进来 , 比如GAN 。
我认为在计算机视觉的对抗攻击的局限在于 , 由于计算机视觉的子领域非常多 , 所以有一些领域还没有人去尝试过 , 而且由于深度学习的不可解释性 , 现阶段只能也通过深度学习去生成对抗样本去破坏目标的学习 , 这样的攻击是没有方向性的 , 比如无法控制分类任务的欺骗方向 , 我认为下一步的发展应在于如何去定向欺骗深度学习网络 , 来达到一些更高要求的目的 。
3.1.2. Graph
在今年的 ICML 和 KDD 的论文中 , 有两篇关于对图结构的对抗攻击的论文 , 一篇是Adversarial Attack on Graph Structured Data[5] , 另一篇是 Adversarial attacks on neuralnetworks for graph data[6] 。 这两篇论文都是对 graph 的攻击 , 这是以前从未有人做过的任务 , 是一种新的应用场景 , 因此前文我说对抗攻击发展还十分稚嫩 , 还在不断寻找新的应用场景 。
由于 graph 结构数据可以建模现实生活中的很多问题 , 现在也有很多研究者在研究这种问题 , 比如知识图谱等领域 。
拿知识图谱来举例 , 现在百度、阿里巴巴等公司都在搭建知识图谱 , 如果我能攻击知识图谱 , 在图上生成一些欺骗性的结点 , 比如虚假交易等行为 , 这会对整个公司带来很大损失 , 所以对图结构的攻击和防御都很有研究价值 。
这两篇论文的出发点都是深度学习模型在图分类问题中的不稳定性 。
第一篇论文定义了基于图模型的攻击:在保持图分类结果不变的情况下 , 通过小规模的增加和减少边的方式 , 最大化分类结果的错误率 。 基于此 , 论文提出了基于分层强化学习的方法来创建对抗样本 。
第二篇论文的思想是对于要攻击的目标节点 , 产生一个干扰图 , 使得新图上的目标节点的分类概率和老图上目标节点的分类概率的差距最大 , 作者提出了Nettack的攻击模型 。
我认为现阶段对图结构的对抗攻击的局限在于以下两点:
1.没有有效的防御算法 。 两篇论文都在讲如何去攻击图分类问题 , 但是对于防御问题 , 第一篇论文只简单讨论了一下 , 比如随机 dropout , 但是展示的结果很不理想 , 而第二篇论文根本没有讨论防御问题 。 因此对图结构的防御问题是接下来的一个可发展的方向 。
2.现阶段图深度学习发展还不完善 , 没有形成一个像图片卷积神经网络那样的完整体系 , GCN、随机游走等算法都各有利弊 , 所以在整个体系完成之前 , 对抗攻击的发展方向不是很明朗 。 我个人觉得随着可微池化[7]的概念的提出 , GCN 应该是以后图深度学习的发展方向 , 所以对GCN的攻击或许很有潜力 。
推荐阅读
- 未来10年最吃香的行业 十大刚需行业
- 预见未来:AI一定要跟硬件结合才能落地吗?
- 畅想未来作文400字作文 展望未来作文
- 《真人快打11》新补丁公布 解除D加密技术
- 工业领域包括哪些
- 警务技术三级主管是什么级别
- 股市技术分析“三绝”其中这本最经典 底部三绝
- 科技链接未来, 2022ChinaJoy同期展会 -- 数字人主题展火热招商中!
- 人脸识别技术升级 戴着口罩也能认出你
- 银行类转债的未来如何? 工行转债