【论文笔记 】EOT算法：Synthesizing robust adversarial example

引言：

对于基于神经网络的分类器，对抗样本是一种加入了微小扰动的样本，能够让分类器产生错误的判断从而识别失败。传统的二维对抗样本通过打印等方式转移导现实世界中时，在有限的视角下能够保持对抗性。但在复杂多变的实际应用场景中，受光照、视角偏移和相机噪声等因素限制，这些对抗样本被相机捕捉到的形态已经发生了变化，在输入到分类器之前就已经失去了对抗性。因此传统方法生成的对抗样本在现实世界中多数无法保持对抗性，难以起到稳定的干扰效果。而此前的研究主要关注的是二维对抗样本的生成，目前缺少一种鲁棒的、能保持多视角对抗性的对抗样本。学术界在三维对抗样本方面的研究也有所欠缺。作者解决了传统对抗样本鲁棒性不强的问题，证明了现实世界中3D对抗样本的存在，首次提出了3D对抗样本的合成算法，并用3D打印合成了第一个物理对抗对象。

方法：

首先，作者提出了EOT算法：

EOT算法的核心思想对每一个微小的对抗扰动（即对抗输入和原始输入之间的距离）进行建模，从而缩小对抗输入与原始输入之间的视觉差距来优化对抗样本。

在有目标的白盒攻击场景中，传统的方法通过最大化目标类yt在原图像(一般将其表示为[ 0,1 ]中每个像素为d的向量)周围的一个半径为a的球上，目标类的对数似然来优化生成对抗样本。

可表示为：

而作者则选择在这个优化的过程中对每个微小的对抗扰动进行建模：

其中T表示转换函数t的变换分布：分类器的输入在经过变换函数t处理后由x变为t(x)；而T则是对于可能影响对抗性的一些因素的建模：

对于2D对抗样本，T包括通过加性因子重新缩放、旋转、变亮或变暗、添加高斯噪声和图像的平移等；

对于3D对抗样本，T包括对抗样本的纹理，并将纹理映射到3D渲染中，以模拟光照、旋转、平移和透视投影等功能。

由此，对抗样本的生成可表示为：

作者在其中采用随机梯度下降的方法进行优化。其中，在梯度下降的每一步都对变换T进行独立的采样，并通过变换T进行微分。而为了更好地起到优化的效果，作者的的在优化目标函数的过程中使用了 Lagrangian-relaxed（拉格朗日松弛）方法，同时使用LGB空间距离作为原始与输出距离：

 

实验：

作者在实验中使用了TensorFlow的标准预训练InceptionV3分类器作为测试模型，并随机指定target类别，攻击成功率为96.4%。

作者首先定量评估了使用EOT方法生成2D、3D和现实世界对抗样本的有效性：将有效性量化定义为：

即样本被分类成目标类的概率。

其中函数C(x,y)表示输入x是否被分类为y类，即：

有了量化的评估标准之后，作者通过实验来评估对抗样本的有效性。

对于2D对抗样本，作者使用的变换分布包括缩放、旋转、改变亮度、添加高斯噪声和平移，对1000张图像随机选择目标类进行攻击，平均对抗性为96.4%：

对于3D对抗样本，作者通过对3D渲染的过程使用EOT算法来模拟变换，考虑了相机距离、横向平移、物体旋转、纯色背景等变换分布，为10个3D模型各选择了20个目标类进行攻击，平均对抗性为83.4%：

对于现实世界的3D对抗样本，作者在代表性的几个变换分布上使用EOT算法，以尽量地近似所有变换分布的情况。除3D渲染的过程外，还考虑了照明效果、相机噪声以及3D打印过程等变换。平均对抗性为94%：

作者通过实验证实了现实世界中3D对抗样本的存在,展示了EOT算法的有效性。

文献来源：

[1]Athalye A, Engstrom L, Ilyas A, et al. Synthesizing robust adversarial examples[C]//International conference on machine learning. PMLR, 2018: 284-293.