vous appris comment gagner le tournoi MSC

2018-07-17 14:09:40

Lei Feng réseau (numéro public: Lei Feng réseau) Note: Cet article est compilé à partir du groupe de blog de technologie de Lei Feng, la lecture du titre original avec des attaques sur les machines accusatoires Can See concours 2018, l'auteur est snakers41.

Traduction | Liao Ying finition | MY

A propos du jeu contre les attaques

TLDR;

Je me trouvais à participer à la MCS2018 face à la concurrence. Lorsque vous participez à ce concours était en retard (lorsque la distance supplémentaire de temps de seulement une semaine), mais à la fin formé une équipe de quatre membres. Parmi eux, trois membres de l'équipe (moi plus) est une condition nécessaire pour payer cette victoire (pour enlever un ou l'autre, nous sommes probablement passé la brosse et la victoire).

L'objectif de ce jeu est de changer la face (exigence SSIM SSIM d'au moins 0,95), de sorte que la convolution boîte noire de réseau de neurones ne peut pas distinguer entre les différentes face à la source et le visage cible.

Brève description de l'essentiel du jeu - visage modifié, de telle sorte que deux faces de la boîte noire ne peut pas distinguer la différence (une mesure de distance sur la distance euclidienne à partir de la au moins une représentation de la norme L2 de vue).

Le travail contre la nécessité d'attaquer et les choses utiles pour nous:

· notation gradient rapide (FGSM) est utile, il fera une addition heuristique d'un peu mieux;

· Valeur Méthode rapide gradient (FGVM), ajoutera grandement heuristique effet d'amélioration;

· évolution différentielle de la formule (réseau à satellite constant de l'article Stellar parlé de cette méthode) + une valeur de pixel d'attaque;

· Modèle de Fusion (structure de réseau est de préférence de 6 couches 34 modèle ResNet);

· combinaison ingénieuse de traverser l'image cible;

· Fondamentalement arrêté le plus tôt possible lors de l'attaque FGVM.

Pour ce que nous inutile:

· Ajout de l'élan à FGVM (ce qui est valable pour les équipes moins bien classées, peut-être la fusion et plus efficace qu'une combinaison de mouvement heuristique?);

· Attaque (C & W attaque, sensiblement bout à bout, les attaques logits modèle de boîte d'attention) Carlini et Wagner proposés - Cette méthode boîtes de dialogue (WB) est utile, mais la boîte noire (BB) est inutile;

· Sur la base de fin de siamois LinkNet (similaire à une architecture UNET, mais sur la base ResNet) méthode. La même boîte de dialogue est utile et inutile sur la boîte noire.

Nous avons pas eu le temps d'essayer le (manque de temps, ou le manque d'effort et d'adhérer aussi):

· Pour améliorer test approprié apprentissage des élèves (nous allons modifier le descripteur);

· Amélioré au moment de l'attaque.

Présentation générale du jeu:

· Compétition contient un petit ensemble de données 10005 + 5 image combinée;

· Fournir aux élèves des considérables apprentissage ensemble de données - plus de 10.000 images;

· Caffe modèle de boîte noire comme un grand nombre de pré-compilé (en raison de l'utilisation de ceux-ci ne peuvent pas être bien utilisé sur la version actuelle du logiciel - mais finalement pris en charge par les organisateurs). Il est encore un peu douloureux, car la boîte noire n'accepte pas des lots d'images;

· Ce jeu fournit un code de base (Honnêtement, ce n'est pas open source, je pense, pas de gens).

Matériau du noyau:

· Les résultats reproduisent la base de code;

· Notre démonstration;

· Tous les gagnants de la démo.

1, MCS2018 un aperçu du jeu et la façon dont je me suis inscrit

Concours et méthodes

Honnêtement, j'ai été fasciné par ce domaine intéressant. Je pense qu'il ya des prix GTX 1080 la version Ti FE de la carte, il est relativement niveau compétition « faible » (loin derrière la concurrence avec 4.000 personnes ODS de l'équipe Kaggle + entières).

Comme mentionné ci-dessus, l'objet du jeu est de confondre le modèle de boîte noire, ce qui rend impossible de distinguer la différence entre deux personnes (avec L2 norme ou de la distance euclidienne). La compétition est un jeu « boîte noire », nous avons donc dû les données données sur le réseau étudiant est distillé boîte noire de gradient d'espoir et de gradient de boîte blanche est suffisamment similaire à l'attaque sur la performance.

En fait, si vous lisez la littérature académique (comme ceci et cela, même si elles ne vous disent pas vraiment dans la pratique ce qui est utile), et le modèle haut obtenu par distillation de l'équipe, vous pouvez facilement trouver certains des éléments suivants loi:

· La mise en uvre plus simple de l'attaque (sur le cadre moderne), y compris boîte blanche ou comprendre la structure interne que vous attaquez la convolution du réseau de neurones CNN (ou tout simplement un cadre);

Le chat ... Il a été suggéré de calculer le temps de l'estimation de la boîte noire réalisée, comprimant ainsi sa structure;

· La prise en compte des données assez donné, vous pouvez simuler la boîte noire boîte blanche avec la formation correcte;

· À l'heure actuelle la plupart des méthodes classiques sont:

Fin de l'attaque C & W (ici non utilisé);

FGSV l'extension intelligente (comme l'intégration de la dynamique de +).

Pour être honnête, nous avons dérouté les rangs des personnes qui utilisent la solution de deux tout autre fin (ne se connaissent pas, qui est complètement indépendant), mais ils ne travaillent pas pour la boîte noire. Cela peut signifier que dans nos paramètres de la tâche, il y a certains paramètres cachés de fuite, mais on n'a pas remarqué. Comme beaucoup d'applications modernes de vision machine complètement fin peut donner de bons résultats (tels que la conversion de style, l'algorithme du bassin versant profond, génération d'images et réduire les artefacts de bruit, etc.), mais il ne sert à rien.

Comment fonctionne la méthode de gradient

Vous pouvez en principe par distillation, pour simuler une boîte noire avec une zone blanche, et ensuite calculer le gradient de l'image d'entrée sortie de modèle. Comme d'habitude un secret caché dans l'heuristique.

matrice cible

Une matrice de cible est la norme moyenne de L2 (distance euclidienne), et les images source et cible (5 * 5) 25 combinaisons en moyenne.

En raison des restrictions CodaLab, je pense score individuel (score total et équipe) sont manipulés manuellement par un administrateur, ce qui est un peu peur.

équipe

Après ma formation après les effets du réseau des étudiants sont mieux que d'autres (jusqu'à présent), et Atmyre discuter (parce que face à des problèmes semblables avant elle, elle m'a aidé à la traduction correcte de la boîte noire), nous avons partagé les uns des autres scores pour, Bien sûr, deux ou trois jours avant la date limite dans le jeu que nous ne partageons pas les méthodes et les codes:

· modèle My-end a échoué (elle aussi);

· J'ai un grand modèle étudiant;

· Ils ont une excellente heuristique de FGVM différentiel (leur code est basé sur la ligne de base);

· Je ne l'avais pas commencé modèle de traitement en fonction de gradient, pour atteindre près de 1,1 - d'abord pour des raisons personnelles, je rejette l'utilisation du code de base (pas de défi) sur le plan local;

· À ce moment-là, ils ont pas trop forte puissance de calcul;

· Enfin, nous prenons un risque, combiné avec d'autres forces - j'ai donné mon devbox / CNNs / expériences d'ablation et observations, ils ont sorti plusieurs semaines fournissent la base de code.

Une fois de plus, ses compétences organisationnelles et des recommandations désintéressés ont exprimé leur profonde gratitude.

les membres de l'équipe sont les suivants:

· https://github.com/atmyre-- elle était capitaine (je suppose que de sa performance). Elle a présenté la version finale de l'évolution de l'attaque de différence génétique;

· Il https://github.com/mortido-- heuristique stellaire mieux atteint avec l'attaque du code de base + de FGVM formé deux modèles;

· https://github.com/snakers4 - sauf pour certains tests d'ablation, je donne trois résultats des élèves au cours d'un modèle de présentation + calcul des heures supplémentaires et la version finale + capacité soumise;

· https://github.com/stalkermustang;

Enfin, nous avons beaucoup appris les uns des autres, très heureux d'avoir cette expérience. Lequel des trois premiers en l'absence de la contribution, nous ne pouvons pas gagner.

2, les étudiants convolution distillation de réseau neuronal

J'utilise le modèle d'étudiant pour obtenir le meilleur score dans la formation, parce que j'utilisé mon propre code au lieu de l'intérieur de la ligne de base.

La clé / point valide:

· Pour chaque architecture conçue individuellement régime LR;

· Par la formation d'atténuation Adam + LR au début;

· Ensuite le pliage et / ou encore plus intelligent (je ne pas utiliser) ou un taux d'apprentissage intégré poids périodique;

· Soigneusement contrôlée due à une sur-raccord et le raccord et la capacité de modèle;

· Régler manuellement votre journal, ne vous fiez pas uniquement sur le journal automatique. Bien qu'ils fonctionnent bien, mais si vous avez le droit d'ajuster, le temps de formation peut être raccourcie 2-3 fois. En particulier, lorsque le modèle de gradient lourd tel que DenseNet;

· La meilleure architecture est encombrant appropriée;

· La formation des pertes L2 plutôt que l'écart quadratique moyen est également possible, mais pas si précis. Gérée par modèle moyen de formation d'erreur quadratique est plus qu'un spectacle avec un modèle de perte distance L2 L2 train approche sortie du modèle de boîte noire. Probablement parce que l'erreur quadratique moyenne, les boîtes que nous utilisons l'objet pour chaque lot séparément Bx512 de la formation (pour permettre le partage d'informations entre plus peaufinage et images) et L2 sont respectivement vecteur formation 2x512 paradigme.

Pas d'utilisation:

· (Ne convient pas, parce que la haute résolution et sous-échantillonnage requis plus) architecture de lancement. Bien que le troisième lancement-v1 et a essayé d'utiliser l'image en pleine résolution (environ 250x250);

· l'architecture à base de VGG (over-raccord);

· architecture "Light" (SqueezeNet / MobileNet-- underfitting);

· Amélioration de l'image (ne modifie pas le descripteur - même troisième ami éteint);

· Dans l'opération d'image pleine grandeur;

· Remettre en question l'esprit des organisateurs du réseau fournit enfin une spécification de traitement par lots. Mais ceci est pour mon équipe et ne sert à rien, je suis en utilisant votre propre code, mais je ne comprends pas pourquoi il est ici;

· Lequel la carte de pixels et en utilisant la seule attaque. Cela suppose que l'image en taille réelle est plus utile (il suffit de comparer 112x112x search_space et 299x299xseach_space).

Notre meilleur modèle - Notez que le score maximum est de 3 * 1E-4. Compte tenu de la complexité du modèle, il est difficile de deviner le modèle de boîte noire est ResNet34. Dans mes tests, ResNet50 + a sous-performé ResNet34.

La perte a été la première variance

3, score final et l'analyse d'ablation

Notre analyse d'ablation comme ceci:

Top solutions comme celui-ci (d'accord, cela est empilé ResNet a ouvert une blague, il pensait ResNet est l'architecture de boîte noire):

Certaines des autres équipes intelligentes conseils utiles:

· Epsilon paramètres adaptatifs;

· Enhanced Data;

· Momentum;

· la dynamique de Newton;

· Attaque miroir de réflexion;

· données d'image Zhang combiné --5000 break seulement 1000 images uniques, ce qui signifie que vous pouvez générer plus de données de formation.

heuristique utile pour FGVM:

· Noise = * eps serrage (grad / grad.std, -2, 2);

· Plusieurs intégré par réseau de neurones gradient de convolution CNN;

· Enregistrer les modifications que lorsque plus la perte moyenne;

· Lupin plusieurs cibles en utilisant une combinaison de la cible;

· Utilisez uniquement que le gradient carré norme moyenne (pour FGSV).

Un bref résumé:

· La première est pas la plus élégante solution;

· Nous avons les solutions les plus diverses;

· La troisième est la solution la plus élégante.

4, de bout en bout modèle

Même si elles échouent, l'avenir est la peine d'essayer. Pour plus de détails, voir le réseau d'examinateur, bref, nous avons essayé:

· C & W à l'attaque;

· Deux excitation cible siamois LinkNet;

Modèle de fin

processus de modèle de fin

Je pense toujours que ma perte est très belle.

5, références et lectures

1, le jeu Accueil

2, notre bibliothèque publique

3, une série d'articles sur la variation de codage (VAE) est le sujet de près

4, la structure du matériau sur la similitude (SSIM) de

1, Wikipedia

2, "Backpropable" PyTorch atteindre

5, l'algorithme différentiel matériau évolution

1, le blog de Stellar

2, SciPy

6, demo

1, notre

2, tous

7, le plus utile des deux articles

1, https: //arxiv.org/pdf/1710.06081.pdf

2, https: //arxiv.org/abs/1708.03999

8,2 dans tous les journaux de lieu:

1, https: //arxiv.org/abs/1712.07107

2, https: //arxiv.org/abs/1801.00553

Lien original: https://spark-in.me/post/playing-with-mcs2018-adversarial-attacks

Lei Feng Lei Feng net net

Pobai 8 secondes! Ce SUV compact dynamique peut être féroce!
Précédent
LEGO Brickheadz à nouveau sur la nouvelle série de super-héros! Alors Meng Wonder Woman a failli ne pas les reconnaître!
Prochain
Arrière "Yuba quatre photo" Lenovo confirmer le nouveau nom de la machine, pas Z5 Pro!
Samsung premier à publier dix mille yuans pliant téléphone écran, détoné en 2019 bataille pliage téléphone à écran
Meizu PRO7 frappé, mais a une double caméra Helio X30
Stephen Stills célèbre professeur de la mort de Vaughan, le tir "Blade Runner", "Batman" Les images fixes
Les joueurs de première ligne RNG S8 efforts pour se préparer, derrière le club de RNG de faire le service public, les utilisateurs pouces vers le haut!
La voiture pourrait subvertir votre point de vue de la voiture française
Quinze de la façon d'éviter qu'il a commencé à les éviter? Lors de l'inventaire des dix merveilleux Nouvel An de police
Citations:-plein écran noir et ZUK bord 6G + 64G pour seulement 1799 yuans
Tonnerre diffusion en direct mystérieux tyran Jiang permettre aux enfants d'aider en quelques minutes seulement dix betta pic soeur A froid!
OPPO nouvelles séries publiées ont confirmé, mais le processeur de CPU d'être de retour?
Pourquoi les gros camions sont particulièrement vulnérables à grave accident de voiture?
« Hornet » nouveau fragment « Sebo Tan guerre » points bouche de levage de la marée brûler cool coup avant énantiomère