1ボックスに制約のL-BFGS
初めて実証Szegedy [22]、誤分類を行うためにニューラルネットワークを誤解人物画像感知できない妨害を少量添加することによって達成することができます。彼らは、最初に試すニューラルネットワークが最小の外乱誤分類を行うためになるように方程式を解くために。起因する問題の複雑さのために高すぎるしかし、彼らは代わりに単純化された発行されます、つまりアイテムを追加するために最小の損失関数を見つけるために、ニューラルネットワークは、誤分類を作るためになるように、この問題はされる凸最適化プロセスに転換します。
2高速グラジエントサインメソッド(FGSM)
見つけることができますSzegedy、ニューラルネットワークの戦闘訓練の深さの堅牢性を向上させるためには、それによって、攻撃のサンプルに対する防御の能力を強化します。外乱に対して効果的な算出方法を開発グッドフェロー[23]。元に対立を解決するための摂動法をFGSMと呼ばれています。
の「ワンステップターゲットクラス」変異FGSMを提案Kurakin [80]。カテゴリ変数の乱れに対して最小の認識確率カテゴリ(オブジェクトクラス)を代入し、元の画像の乱れを減じ、原画像に対して、サンプル、および出力することができる対象カテゴリとなります。
3基本&最少可能性の高いクラスの反復法
直接することができ、動作損失関数分類器における大きな増加による画像の乱れのための一段階法、小さな複数のステップによって機能変異体の損失を増加させるために拡張我々は基本的反復法(BIM)を得るように、 [35]。方法の類似の変異体と、上記方法が、代わりの最小認識確率カテゴリ(オブジェクトクラス)とクラス内の外乱変数に対する最小尤クラス反復法[得た 35]。
4ヤコビアンベースの顕著性地図アタック(JSMA)
一般文献への攻撃に使用される方法は、外乱が気付かれないように、外乱l_∞またはサンプルに対するL_2ノルムの値を制限することです。しかしながらJSMA [60]すなわち、L_0ノルムを制限する方法を提案し、ほんの数ピクセルの値を変更することはなく、画像全体を乱すことによって。
5一つの画素アタック
これは、攻撃に対して極端である、唯一の画像の画素の値を変更する攻撃に対して達成することができます。各画素サブ画像に対して、微分進化を使用SU [68]は、繰り返し発生し、攻撃を達成するために選択基準に従って親画像、サブ画像保持最良攻撃効果と比較して修飾されています。これは、ネットワークパラメータや勾配に対する攻撃について何を知っている必要はありません。
6回のCarliniおよびWagner攻撃(C&W)
Carliniとワーグナー[36]は外乱が気づいたことができないようにl_∞、L_2とL_0ノルムを制限することにより、攻撃に対する3を提案しました。実験は守備の蒸留全く弁解の余地のない3回の攻撃することを示しています。アルゴリズムは、外乱に対して生成ブラックボックス攻撃を可能にする、セキュアネットワークへのセキュリティで保護されていないネットワークから移行することができます。
7 DeepFool
反復計算の方法によりMoosavi-Dezfooliら[72] の外乱に対して最小の仕様を生成するためには、分類エラーが発生するまで、画像は、分類の境界内に配置され、徐々に、外側境界にプッシュ。著者は、同様の速度を欺くことながら、彼らは、FGSMよりも小さな乱れを生成することを実証しました。
8つのユニバーサル敵対摂動
FGSM [23]、ILCM [35記載の方法 ]、DeepFool [72] 、外乱に対して単一の画像を生成することができるような、ユニバーサル敵対摂動[16]ヒトに等しく、任意のイメージ妨害攻撃、これらの外乱を達成するために生成することができますほとんど見えません。そしてDeepFool画像分類境界の導入との対決を妨害している本論文で使用したのと同様の方法が、同一の乱れが全ての画像を目的としています。テキストのみの単一のネットワークResNetための攻撃、しかしが証明しているが、このような妨害は、他のネットワークに一般化することができます。
9 UPSETとAngriの
不調Angriの、2つの黒いボックスを攻撃アルゴリズムを提案しサーカー[146]。UPSET外乱に対して特定の対象カテゴリのために生成されてもよい、外乱が画像に追加されるように、オブジェクトのクラスに分類される任意の画像であってもよいです。、Angriのは、生成された「画像不可知論」外乱UPSET相対外乱の「特定画像」です。彼らはMNISTとCIFARデータセット上の詐欺の高い率を得ています。
10フーディーニ
フーディーニ[131]によって、勾配法のための機械学習アルゴリズムに基づいて詐欺である特定のタスクの損失関数を生成するために、試料に対する攻撃に対して達成すなわち、微分ネットワーク損失関数用いて勾配情報外乱に対して生成します。画像分類ネットワークに加えて、アルゴリズムはまた、音声認識ネットワークを欺くために使用されてもよいです。
11個の敵対変換ネットワーク(ATNs)
Balujaフィッシャー[42]フロントに対する複数のサンプルに訓練されたニューラルネットワークを生成するために、1つまたは複数のネットワークを攻撃するために使用することができます。サンプルを生成するために関節機能の損失を最小化することによってアルゴリズムサンプルが誤って分類されるように、試料が第二部分に対して、同様のに対して保持するように損失関数は二つの部分、元の画像の第1の部分を有しています。
12回のその他の攻撃
このセクションでは、サンプルに対して、より多くを生成する他の方法を示しています、元を参照してください。
表1:上記の攻撃方法の種々のプロパティ概要:「摂動ノルム」は、ヒト、外乱との闘いは、可視または検出することは困難ではないようにするために、その範囲(pノルム)のP-限界を表しています。文献のレビューに基づいて、強度項目は(戦闘の強度*より、大きい)感動していました。