- 假设我们图像的数组为x模型已經正确分类到y_true,这时我们需要进行白盒攻击微小地修改图像数组x使得模型将其分类到y1
- 给模型输入(x,y1)获取到模型在输入x上的梯度这裏的x便是图像的数组表示
- 依据梯度,在图像上进行调整以达到减小误差,判断是否此时模型将其分类到y1
- 重复2、3步直到模型将其分类到y1戓者超出时间限制
-
注意:使用的算法主要有两个思想:每次将梯度等比放大,至少最大值达到某个阈值(代码中为7);同时限定对图像调整的幅度noise在一定范围以内(代码中noise_limit为50当太小时则会收敛的非常慢!比如为5)
- 黑盒攻击与白盒不同地便是,第二步无法得到梯度,只能隨机地调整图像直到模型将其分类到y1或者超出时间限制
-
使用的算法是one-pixel-attack,通过随机得修改若干个像素点进行攻击。
- 基于完成了白盒攻擊的流程。但是调整梯度的算法未深究
- 神经网络的结构 对于训练的效率(训练达到的准确率/训练的耗时)很重要
- 使用已给的CNN只用了一个epoch就訓练得到90.76%正确率的本次白盒攻击基于此模型
- 自行编写的CNN用了几个epoch训练得到92%正确率
- 使用ResNet用了10个左右epoch训练得到91.84%正确率,本次黑盒攻击基于此模型
- keras是一个高级API更加简便,易于上手
- 如何调用一些封装好的训练方法
- 如何调用标准的、开源的数据结构比如ResNet、DenseNet
- 由于使用的是CPU训练所以速度很慢!
- 可以随时终端某一步,而前面地结果依然保存节约重复跑相同程序地时间
该博主实现了一个简单的白盒攻击,但是没有对梯喥进行优化
