1. 研究目的与意义
深度学习利用大型数据集和计算效率高的训练算法,在各种机器学习任务中优于其他方法。 但是深层神经网络的训练阶段使它们容易受到对抗性样本的影响:由对手制作的输入,目的是导致深层神经网络错误分类。
大型神经网络在2000年代中期被重新定位为深度神经网络(DNN),通过在许多任务中优于其他方法来改变机器学习的格局。 这是事先促成的 降低了训练的计算复杂度。例如,深度学习(D L)现在可以利用大型数据集来实现比以前的分类t更高的准确率。总之,DL正在转换许多领域的复杂数据的计算处理,如视觉、语音识别、语言处理、金融、UD检测和最近的恶意软件检测。
2. 研究内容和预期目标
这种对深度学习的日益增加的使用正在为对手操纵DNN以强迫输入的错误分类创造激励。例如,深度学习的应用使用图像分类器 区分不适当的内容,以及文本和图像分类器,以区分SPAM和非SPAM电子邮件。一个能制造错误分类输入的对手会从中获利 逃避检测-事实上,这种攻击今天发生在非DL分类系统。在物理领域,考虑使用DL识别交通标志的无人驾驶汽车系统。如果稍微改变“停止”标志会导致DNN对它们进行错误分类,那么汽车就不会停下来,从而破坏了汽车的安全。
3. 国内外研究现状
Efficient Black-Box Adversarial Attack Guided by the Distribution of Adversarial Perturbations提出了一个新的策略,通过一个基于条件流的模型将高斯分布变量转换到另一个空间,以增强捕捉良性样本上的对抗扰动的内在分布的能力和灵活性。
此外还在一些白盒代理模型的基础上,利用对抗扰动在不同模型间的可传递性,对条件流模型进行预训练。
实验结果表明该策略可以同时利用基于查询和基于转移的攻击方法,在有效性和效率上达到令人满意的攻击效果。
4. 计划与进度安排
之前的攻击方法大致属于两类,第一类是基于神经网络训练时用到的梯度下降方法,这些技术利用了网络训练算法计算的梯度:没有像通常那样使用这些梯度来更新网络参数,而是梯度被用来更新原始输入本身,原始输入随后被DNN错误分类;第二类是基于输出层与输入层的前向导数关系,来制作输入跟输出的映射关系,从而更新原始输入本身,原始输入随后被DNN错误分类。
以往的大多数方法属于第一类,而我们的方法属于第二类,跟Papernot et al.提出的JSMA方法思路上一致,但是在我们的实验中,我们提出的攻击算法在性能表现上大大超过了JSMA算法,同时算法时间效率也比其更加优秀。
为了评估我们的算法性能,我们在两个数据集上评估了我们的算法:一个数据集是MNIST,手写数字识别数据集,共有10个类别;一个数据集是CIFAR-10,一个小型的图像识别任务,共有10个类别。
5. 参考文献
[1]D.Andoretal.“GloballyNormalizedTransition-BasedNeuralNetworks”.In:(2016).
[2]Djork-Arn Clevert, T. Unterthiner, and S.Hochreiter. “Fast and Accurate Deep Net-work Learning by Exponential Linear Units(ELUs)”. In: Computer Science (2015).
[3]A. Krizhevsky and G. Hinton. “Learning mul-tiple layers of features from tiny images”. In:Handbook of Systemic Autoimmune Diseases1.4 (2009).
以上是毕业论文开题报告,课题毕业论文、任务书、外文翻译、程序设计、图纸设计等资料可联系客服协助查找。