(
课件网) 第七单元 第6课 深度学习的挑战:对抗样本 清华版(中学) 通 1 学习目标 3 新知讲解 5 拓展延伸 7 板书设计 2 新知导入 4 课堂练习 6 课堂总结 课后作业 8 01 教学目标 (1)理解对抗样本的概念及其生成方式。 (2)了解对抗样本的成因,认识神经网络的局限性和脆弱性。 (3)探讨对抗样本带来的潜在风险及主要防范措施。 02 新知导入 1. 对抗样本的定义与现象 如果在一张“猪”的图片中加入一些噪声,这些噪声小到人类几乎无法察觉,神经网络却将它误识成“飞机”。这种让神经网络产生错觉的特殊样本被称为“对抗样本”,暴露了模型的脆弱性。 02 新知导入 2. 对抗样本的生成与原因 对抗样本通过优化算法针对性生成扰动,其根源在于高维输入空间的线性特性、模型过度敏感及决策边界的不规则性。 02 新知导入 3. 风险与防御需求 对抗样本揭示模型在如自动驾驶、医疗诊断的 安全关键场景 中的潜在风险,亟需开发 鲁棒训练 (如对抗训练)、 输入检测 等防御机制。 03 新知讲解 1 什么是对抗样本 1. 对抗样本的核心特征 对抗样本是 人眼难以察觉 但能导致神经网络 高置信度错误分类 的微小扰动样本。简单来说,就是那些看起来和普通样本没什么区别,但却能让深度神经网络产生错误判断的样本。 03 新知讲解 1 什么是对抗样本 2. 扰动影响的极端案例 在安全关键场景, 微小扰动可引发致命误判。如在红绿灯中加入了一个小点,机器就把红灯识别成了绿灯。 03 新知讲解 1 什么是对抗样本 3. 对抗样本的生成方式 不是随便添加一些噪声就可以成为对抗样本的,必须是特殊设计的噪声才行。通常是找到一个让模型输出变化最大的方向,在这个方向对照片做微小修改,即可得到一个对抗样本。 03 新知讲解 1 什么是对抗样本 4. 对抗样本的普遍性与隐蔽性 扰动无需针对特定模型, 跨模型迁移性 强,且人类无法直观识别,使其成为隐蔽的安全威胁。 03 新知讲解 1. 对抗样本的普遍性与系统性风险 对抗样本是深度神经网络的 普遍缺陷 ,任何输入均可通过针对性扰动(如噪声、旋转)被误判为任意目标类别。 2 对抗样本的生成方式 03 新知讲解 2. 对抗样本的生成方法 对抗样本可通过基于梯度的攻击(如FGSM)生成微小扰动,或通过旋转、缩放等实现几何欺骗,共同暴露神经网络对输入变化的过度敏感性。 2 对抗样本的生成方式 03 新知讲解 3. 安全挑战与防御紧迫性 对抗样本的 高成功率 与 跨模型迁移性 表明其非偶然性,需通过对抗训练、输入净化等技术提升模型鲁棒性,应对安全关键领域的潜在威胁。 2 对抗样本的生成方式 03 新知讲解 3 对抗样本的成因 1. 脆弱性的具体表现 神经网络过度依赖局部伪特征(如斑点),而忽略全局语义(如形状),导致微小扰动对人类无关却对模型产生颠覆性影响 03 新知讲解 3 对抗样本的成因 2. 对抗样本的研究价值 对抗样本的研究价值在于揭示模型缺陷、指导改进设计、并评估安全可靠性,为高风险领域的AI部署提供关键保障。 03 新知讲解 3 对抗样本的成因 3. 实际应用的警示与应对 对抗样本警示在 高风险领域 需谨慎部署神经网络,并推动发展对抗训练、可解释AI等技术以增强模型信任度。 03 新知讲解 4 对抗样本的风险与防范 1. 对抗样本的现实风险 对抗样本在 安全关键领域造成严重威胁,例如:篡改路牌导致误判、特制眼镜欺骗身份认证,揭示AI系统的脆弱性。 03 新知讲解 4 对抗样本的风险与防范 2.主流防御技术 对抗训练、输入预处理和集成投票是提升模型鲁棒性的核心防御策略,分别通过数据增强、噪声干扰和集体决策来抵御对抗样本攻击。 03 新知讲解 4 对抗样本的风险与防范 3. 防御策略的核心目标 通过 技术加固 (如对抗训练)与 系统冗余 ... ...
