您需要对图像进行多少次修改才能欺骗神经网络识别错误的图像？

一个像素就够了。

日本的一项研究表明，改变图像上的单个像素可以使神经网络识别出错误的图像，甚至诱导其返回特定结果。

该研究由日本九州大学的Jiawei Su、Danilo Vasconcellos Vargas和Kouichi Sakurai共同完成。他们不仅写了一篇论文详细介绍了这种通过改变一个像素来欺骗神经网络的神奇技术，而且还开源了相应的Keras 实现。这种技术称为“单像素攻击”。

可惜VGG名气这么大，连猫都承认错了

在CIFAR-10和ImageNet数据集上，一像素攻击的成功率分别为68.36%和41.22%。

如何用一个像素攻击神经网络？

实验在CIFAR-10 和ImageNet 数据集上进行。我们以CIFAR-10为例进行说明。 CIFAR-10是一个图像识别数据集，包含10类60,000张3232像素RGB彩色图片。神经网络在这个数据集上的任务就是正确预测图片所属的类别。

单像素攻击的目标是通过从图像中选择一个像素并改变其颜色、改变神经网络输出的类别标签、降低对正确类别的置信度、提高对某些类别的置信度来创建对抗性图像。其他类别。信心。也就是让神经网络将其分类到错误的类别中。

这个任务看起来很简单，但是，3232=1024 像素，我应该选择哪一个呢？改成什么颜色？

这些研究人员使用了一种称为差分进化（DE）的进化算法。

具体来说，首先通过随机修改像素生成400个对抗样本并输入神经网络；然后，将这些修改后的像素的位置和颜色组合起来，生成400个对抗样本并输入到神经网络中；接下来，如果与父样本相比，新样本降低了神经网络对正确类别的置信度，则父样本将被该样本上修改后的像素替换为当前已知的最优解。

之后，多次重复上述三个步骤，然后在最后一次迭代中，选择最小化神经网络对正确类别的置信度的对抗性示例。

如果其他类别的置信度高于正确类别的最终置信度，我们就成功了。最终选定的样本就是我们想要的结果。

关于全连接神经网络（AllConv），Network

在in Network(NiN)、VGG16、AlexNet的测试中，该方法的成功率如下表所示：

表中的针对性攻击是指神经网络将图像误认为特定类别的攻击。

一些研究人员也在ImageNet上使用了这种方法，将图像尺寸统一为227227，大约是CIFAR-10图像尺寸的50倍。

在ImageNet 上的测试表明，这种欺骗神经网络的方法也适用于分辨率相对较高的图像。

论文称，DE方法不像基于梯度的方法那样容易陷入局部极小值，并且不需要攻击目标系统太多的信息，因此生成的对抗样本适用于多种神经网络网络。

相关链接

论文一号像素攻击欺骗深度神经网络

https://arxiv.org/pdf/1710.08864.pdf

Keras 实现

https://github.com/Hyperarticle/one-pixel-attack-keras

开头提到的迷幻补丁Adversarial Patch

https://arxiv.org/pdf/1712.09665.pdf

- 超过-

诚意招聘