CNN是否能够对微小变化导致错误分类的技巧保持健壮？

解答动态

• 

  这些被称为对抗性攻击，而被错误分类的具体示例被称为对抗性示例。
  在寻找对抗性示例和使CNN更强大（即不易受到这些攻击）方面有相当大的工作量。一个例子是DeepFool算法，它可以用来发现可能导致标签改变的数据扰动。
  文献中有几种技术用于对抗对抗性攻击。这是一个选择：
  增加具有各种随机扰动的训练数据。这是为了使该模型对典型的敌方攻击更具鲁棒性，其中随机噪声被添加到图像中。文[1]中讨论了这种方法的一个例子。
  在输入CNN之前构造某种模型来对输入进行去噪。这方面的一个例子是Defense GAN[2]，它使用一个生成性对抗模型，对“真实”图像分布进行建模，并找到更接近真实分布的输入近似值。
  References [1]Ian J.Goodfello、Jonathon Shlens和Christian Szegedy。解释和利用对手的例子。ICLR（2015年）。网址：
  [2]Pouya Samangouei，Maya Kabkab，Rama Chellappa。防御：使用生成模型保护分类器免受对手攻击。ICLR（2018年）。这些例子被称为对抗性例子。我认为重要的是要理解为什么CNN可以像这样“被欺骗”那就是：我们经常当模型具有类似人的性能时，期望有类似人的行为。这与CNNs类似。我们期望他们像我们一样做出决定，也就是说，我们寻找物体的形状。然而，正如CNN上的各种实验所显示的那样，情况并非如此。有线电视新闻网（CNN）也在寻找其他的特写。它试图最小化损失函数。而最快的方法往往不是预期的方法。E、 你认为一头牛有四条腿和特定形状的头。CNN可能会认为，如果有一个有4条腿和绿色背景的东西就足够了（因为训练数据集中10个图像中有9个是这样的）。因此，在大多数情况下，CNN通过这些特征识别奶牛时表现良好。
  Geirhos在“Imagenet训练的CNN偏向纹理；增加形状偏差可提高准确性和鲁棒性”中做了一个实验；。他展示了一张CNN的图片，这些图片可以分为a和B两类，比如这张图片，取自上面盖尔斯的。在大多数情况下，一个普通的CNN说这不是猫。它是一头大象！
  
  或Wang等人的另一个类似实验：“高频成分有助于解释卷积神经网络的泛化。”；。他们发现，普通的CNN可以“正确”地对图像进行分类，尽管该图像中的低频率（即，这些频率包含形状信息）已从图像中移除。
  在另一个实验中，Brendel&；Bethge in“用bag of localfeatures模型近似CNN的效果出奇地好imagenet重新设计了CNN，使其无法通过设计使用全局形状信息。他们的CNN也表现得像人类。那么，为什么其他CNN不应该使用这个网络所使用的功能呢？
  进入问题的第二部分：为了使CNN更加健壮，您需要向CNN提供只包含您希望它学习的功能的图像。这对图像来说很困难。通过应用样式转移移除纹理信息是一种选择。想想你想让网络学习什么而不是什么。然后尝试移除/隐藏/抑制你不想让它学习的东西。其他答案中给出了详细信息。
  还有一种称为特征可视化的方法，它尝试生成CNN识别的特征的可视化。然而，天真的技术几乎是无用的，因为这些可视化往往是由噪音之类的东西主导。（除了CNN的极小部分）这可能表明CNN不关注全局形状信息（因为可视化不是尖锐的形状，而是高频纹理）比特：怎么样深层神经网络很容易被愚弄吗？第2页
• End