旷视研究院在CVPR 2020提出DaST,一种无需真实数据的替身模型训练方法,用于黑盒对抗攻击。DaST使用生成对抗网络产生合成样本,通过控制标签的损失函数解决样本分布不均问题,增强替身模型的迁移性,从而提高对抗攻击效果。实验表明,DaST在MNIST和CIFAR-10数据集上表现出良好性能,并在Microsoft Azure上成功攻击在线模型。
IEEE国际计算机视觉与模式识别会议 CVPR 2020 (IEEE Conference on Computer Vision and Pattern Recognition) 大会官方论文结果公布,旷视研究院 16 篇论文被收录(其中含 6篇 Oral 论文),研究领域涵盖物体检测与行人再识别(尤其是遮挡场景),人脸识别,文字检测与识别,实时视频感知与推理,小样本学习,迁移学习,3D感知,GAN与图像生成,计算机图形学,语义分割,细粒度图像,对抗样本攻击等众多领域,取得多项领先的技术研究成果,这与已开放/开源的旷视AI生产力平台Brain++密不可分。
本文是旷视CVPR2020论文系列解读第10篇,本文提出一种替身模型训练方法——DaST,无需任何真实数据即可获得对抗性黑盒攻击的替身模型。实验表明,相较基准替身模型,DaST生产的替身模型可实现具有竞争力的性能。据知,这是首个无需任何真实数据即可生成替身模型并用来产生对抗攻击的工作,代码已开源。本文已入选CVPR 2020 Oral论文。
论文名称:DaST: Data-free Substitute Training for Adversarial Attacks
论文链接:https://arxiv.org/abs/2003.12703
论文代码:https://github.com/zhoumingyi/Adversarial-Imitation-attacks
目录
导语
简介
方法
-
攻击场景
对抗攻击
对抗性生成器-分类器训练
控制标签的数据生成
实验
-
MNIST
CIFAR-10
Microsoft Azure
结论
参考文献
往期解读
导语
深度神经网络面对细微的图像扰动非常脆弱,如何研究神经网络的攻击和防御,提高起鲁棒性,激发了研究社区的极大兴趣。对抗攻击分为两类,白盒攻击和黑盒攻击,前者知道模型的全部信息,后者只知道部分信息。黑盒攻击在实际应用中比白盒攻击更实用。
在攻击方法中,score-based攻击和decision-based攻击直接使用分类概率或者目标模型返回的硬标签直接攻击目标模型。这些攻击方法无需一个预训练的替身模型,但是作为替换,它们需要关于目标模型的大量查询,以生成每一次攻击。
相反,gradient-based攻击需要了解目标模型的架构和权重,Goodfellow等人论文表明,对抗样本具有迁移性,这意味着由白盒攻击方法生成的针对某一模型的对抗样本可以攻击其他模型;因此,为了实施黑盒攻击方法,他们通过一个替身模型获得对抗样本,接着基于这些对抗样本的迁移性攻击目标模型。
相较于score-based攻击和decision-based攻击,替身攻击无需查询来生成对抗样本,但是需要一个预训练的模型来生成对抗攻击。Papernot等人论文提出一个方法,利用大量图像数据模拟目标模型的输出,得到替身模型。另外,Trame`r等人提出的预测API也可用来窃取机器模型,并应用到不同的真实攻击任务上。
这些方法不需要预训练模型,但是需要很多目标模型的真实数据来训练替身模型,实际情况是这些真实数据很难获得。因此,提出一种无需数据即可训练替身模型的方法很重要,它能更好地揭示当前机器学习技术所面临的风险。
简介
旷视研究院提出一个无需数据训练替身模型实现黑盒对抗攻击的方法,称之为DaST(Data-free Substitute Training),它利用生成对抗网络GAN生成合成样本,以训练替身模型,而合成样本的标签来自目标模型。
性能方面,合成样本可平等分布在输入空间,样本标签涵盖全部类别。然而,传统
最低0.47元/天 解锁文章
扫一扫
245
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
