新闻快讯
< >

日本AI研究人员修改一个像素使图像分类出错

E安全10月31日讯 日本九州大学(Japan's Kyushu University)一组研究人员近期发表的研究结果显示,修改图片的一个像素就可愚弄图像分类器(Image Classifier)。

研究人员根本不需了解深度神经网络

这组研究人员秉持两大研究目标展开此项研究:

  • 可预见性地欺骗深度神经网络(DNN);

  • 尽可能实现攻击自动化。

换句话讲,研究要如何将“汽车”图像错误识别为“狗”?而对抗性扰乱一个像素便能达到这种目的,而这类攻击肉眼察觉不到。

日本AI研究人员修改一个像素使图像分类出错-E安全

研究人员通过研究提出惊人的结论:一个像素的攻击在近四分之三的标准训练图像中可行。研究人员根本不需了解深度神经网络,只需 “黑盒子”(Black Box)概率标签输出发挥作用。此类攻击基于“差分进化”(DE)技术。扰乱的像素越多,攻击愈有效:修改1个像素,误导分类的成功率为73.8%;扰乱3个像素,成功率为82%;而修改5个像素可将成功率提升至87.3%。

研究人员只更改一个像素的情况下成功误导了目标 DNN。

日本AI研究人员修改一个像素使图像分类出错-E安全

括号内的标签为识别类别,括号外的标签是原类别

目光敏锐的人仔细看这些测试图像就会发现,一个像素攻击只对1024像素的图像发起攻击。但是,对于280,000像素的图像而言,只需修改273个像数,并且人眼仍不易察觉其中的变化。

完整的研究报告,请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。