Телефон: +7 (383)-312-14-32

Статья опубликована в рамках: Научного журнала «Студенческий» № 21(107)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4

Библиографическое описание:
Дахшукаев В.Р. ИСКАЖЕНИЯ ЦИФРОВОГО ИЗОБРАЖЕНИЯ ПОСРЕДСТВОМ FGSM АТАКИ // Студенческий: электрон. научн. журн. 2020. № 21(107). URL: https://sibac.info/journal/student/107/182833 (дата обращения: 03.12.2020).

ИСКАЖЕНИЯ ЦИФРОВОГО ИЗОБРАЖЕНИЯ ПОСРЕДСТВОМ FGSM АТАКИ

Дахшукаев Владимир Русланович

магистрант, кафедра информационные системы и телекоммуникации, Московский государственный технический университет имени Н.Э. Баумана,

РФ, г. Москва

 

АННОТАЦИЯ

В данной статье акцентируется внимание на методах визуального искажения и уязвимостях машинных классификаторов. Примером такой уязвимости являются образцы входных данных, которые были незначительно изменены таким образом, чтобы заставить классификатор машинного обучения неверно распознать их. Во многих случаях такие модификации могут быть настолько незначительными, что человек вообще не замечает изменений, но классификатор все же совершает ошибку. Также в данной статье показаны алгоритмы воздействия на цифровое изображение и проанализирована разница между исходными и измененными изображениями.

Актуальность статьи объясняется востребованностью в усовершенствовании алгоритмов распознавания цифрового изображения.

 

Ключевые слова: цифровое изображение, машинное обучение, метод, классификатор, алгоритмы, состязательные атаки.

 

ВВЕДЕНИЕ

Востребованность в усовершенствовании алгоритмов распознавания цифрового изображения очень высока. Исходя из этого, разрабатывается большое количество состязательных атак, которые искажают цифровое изображение, чтобы впоследствии, была возможность обучить прочную защиту.

НЕЦЕЛЕНАПРАВЛЕННАЯ АТАКА

Нецеленаправленная атака - самый общий тип атаки, когда все что вы хотите сделать - это заставить классификатор дать неправильный результат.

Для эксперимента мы будем использовать картинки, которые в процессе будут обрабатываться машинным алгоритмом визуального искажения и несколькими состязательными атаками [1].

В работе мы используем предварительно обученную нейросеть “Inception-v3”, которая натренирована на выборке, состоящей из тысячи изображений [2] (Рисунок 1).

 

Рисунок 1. Архитектура “Inception-v3”

 

Обученная нейронная сеть, по существу представляет высоко размерную границу решений, где каждая итерация связана с одним и тем же изображением, которое мы изменяем.

Выполним подъем градиента с помощью которого реализовываем атаку, которая не изменяет полностью изображение, а накладывает шум с ограничением. Таким образом на изображении не будет чрезмерно ярких или тусклых частей.

Метод представляет собой чтение изображения с диска и преобразовывает его в формат, принятый нашей сетью.

Метод быстрого градиента будет зависеть от трех параметров:

- максимальная интенсивность;

- количество шагов градиента;

- размер шага.

Мы не используем слишком большие шаги, поскольку они часто приводят к нестабильным результатам, то же самое, как и при огромных темпах обучения сети. Мы контролируем амплитуду шума, также мы управляем стабильностью нападения (Рисунок 2).

 

Рисунок 2. Нецеленаправленная атака

 

Реализация нецеленаправленной атака состоит в том, чтобы сделать атаку, которая не изменит изображение, а наложит ограничение в количестве шума.

Модифицированное изображение запросто инициализирует пользователь и не найдет значительных изменений, а машина будет делать ошибку при любой попытке инициализировать измененное изображение, если не будет использоваться алгоритм защиты.

Изображения классификатор неправильно инициализировал, хотя человеческий глаз всё ещё определяет, что отображено на цифровом изображении (Рисунок 3).

 

Рисунок 3. Инициализация изображения при нецеленаправленной атаке

 

Нецеленаправленная атака прошла успешна, так как классификатор не смог правильно инициализировать изображение.

ЦЕЛЕНАПРАВЛЕННАЯ АТАКА

Целенаправленная атака фокусируется на изменении изображения таким образом, чтобы классификатор его распознал, как другое изображение [3].

Рассмотрим пример целенаправленной атаки (Рисунок 4, 5, 6).

 

Рисунок 4. Целенаправленная атака на первое изображение

 

Рисунок 5. Целенаправленная атака на втором изображении

 

Рисунок 6. Целенаправленная атака на третьем изображении

 

Исходное изображение находится слева, а состязательное изображение - справа. Выглядят они очень похожими. Невооруженным глазом понятно, что изображено на этих изображениях, но классификатор инициализирует изображения по-другому.

Целенаправленная атака прошла успешна, так как классификатор инициализировал изображение по-другому.

МЕТОД ПОШАГОВОГО ГРАДИЕНТА

Существует большое количество разновидностей состязательных атак (Рисунок 7), один из которых алгоритм пошагового градиента, представленный в формуле ниже [4].

 

Рисунок 7. Разновидности состязательных атак

 

Простой, но все же очень эффективный алгоритм. Основная идея состоит в том, чтобы добавить некоторый слабый шум на каждом шаге итерации.

Иногда мы должны будем ограничить амплитуду шума, чтобы сохранить визуальную целостность изображения.

,                                                (1)

 — изображение с искажением;

 — исходное входное изображение;

- функция потери;

 – значение, отвечающее за целевую атаку.

Амплитуда в нашем случае означает интенсивность канала пикселя - ограничение, это гарантирует, что шум будет почти незаметен. В нашем случае, мы оптимизируем шум, чтобы максимизировать ошибку. Реализуем это с помощью увеличения градиента изображения на входе [5].

Производим шум, добавляем его к изображению, посылаем его в классификатор и повторяем процесс, пока машина не делает ошибку в инициализации изображения. В какой-то момент ограничиваем амплитуду шума, чтобы вычислить самый слабый шум, который дал бы нам тот же самый результат.

Рассмотрим поперечные сечения изображения. После начала инициализации мы двигаемся в некотором направлении, которое ограничивается концом изображения. Метод градиента перемещает нас к границе между истинным классом и некоторым другим классом, как это видно на изображении (Рисунок 8).

 

Рисунок 8. Метод градиента на поперечном сечении

 

Разница между исходным и измененным изображением почти незаметна (Рисунок 2, 4, 5, 6).

Работа алгоритма осуществляется следующим образом:

- исследуем изображение;

- находим границу следующего пикселя и модифицируем его.

Важно удостовериться, что изменения визуально минимальны.

Заключение

Алгоритм FGSM хорошо зарекомендовал себя для нецеленаправленной и целенаправленной атаки. Реализовали искажение, которое не изменяет полностью изображение, а накладывает ограниченный шум, с помощью которого машинный классификатор делает ошибку при инициализации. В случае нецеленаправленной атаки, ошибка – выдача неправильного результата при выводе изображения. Целенаправленной атаки – в результате вывода выступает другое, неправильно распознанное изображение. Также была построена таблица результирующей оценки:

Таблица 1.

Таблица результирующей оценки

Состязательные атаки

Целенаправленная с FGSM

Нецеленаправленная

с FGSM

Простота настройки

4

7

Понятность

7

9

Работа в Windows

7

7

Наличие тех. документации

8

8

Наличие нач. примеров

8

8

Результаты

34

39

 

Таким образом, побеждает нецеленаправленная атака с использованием FGSM с её 39 баллами. Эта атака показала себя одновременно простой и эффективной.

 

Список литературы:

  1. Конкурс от NIPS по искажению изображения [Электронный ресурс]. - Режим доступа: https://www.kaggle.com/c/nips-2017-non-targeted-adversarial-attack (дата обращения: 19.06.2018)
  2. C. Szegedy, V. Vanhoucke, S. Ioffe, J. Shlens, Z. Wojna Rethinking the Inception Architecture for Computer Vision [Электронный ресурс]. - URL: https://arxiv.org/pdf/1512.00567.pdf (дата обращения: 17.06.2018)
  3. Конкурс от NIPS по искажению изображения [Электронный ресурс]. - Режим доступа: https://www.kaggle.com/c/nips-2017-targeted-adversarial-attack (дата обращения: 20.06.2018)
  4. А. C. Serban, E. Poll, J. Visser Adversarial Examples - A Complete Characterisation of the Phenomenon [Электронный ресурс]. - URL: https://arxiv.org/pdf/1810.01185.pdf (дата обращения: 13.06.2018)
  5. Ian J. Goodfellow, J. Shlens, C. Szegedy Explaning and harnessing adversarial examples [Электронный ресурс]. – URL: https://arxiv.org/pdf/1412.6572.pdf (дата обращения: 15.06.2018)

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом