这篇论文是基于分数的稀疏黑盒对抗攻击,采用特定采样的随机搜索方法在范式边界攻击,对抗补丁和对抗框三个稀疏威胁模型下实现了当时最先进的成功率和查询效率。
算法伪代码
k为扰动像素位置,所有扰动位置构成一个集合M;为添加的扰动值;第三步生成的
即为对抗样本;第5-11步为迭代过程,论文主要的贡献是为随机搜索算法设计了特定的采样分布,即第6步在特定采样范围内更新扰动像素位置M以及第7步更新扰动值
,来达到提高成功率和查询效率的结果。
攻击采样更新:
A ⊂ M and B ⊂ U \ M, with |A| = |B| =γ, create M´= (M \ A) ∪ B
在初始选择的M集合中随机选一些像素即为位置集合A,再从全图片除了M集合剩下位置随机选一些像素即为位置集合B,下一步位置集合更新就是M位置集合加入B位置集合再排除A位置集合。
为新加入的扰动位置加入扰动值:具体做法是在三通道上分别随机选择扰动值为0或者1,即颜色组合只会出现8种。
对抗补丁 Patch-RS采样更新:
Location updates: randomly sample a new location in a 2D L∞-ball around the current patch position.以上一个补丁位置为中心的范围内,随机选择一个位置。
Value updates: in principle any black-box method for an L∞-threat model can be plugged in there. (Square Attack )论文创建的Patch-RS与使用其它方法不同的是在实验后期扰动值是单通道更新,消融实验表明这样的效果更好。
对抗框攻击Frame-RS采样更新:
对抗框设置大小后位置无法改变
Value updates: at each iteration i we sample uniformly a pixel of the frame to be a random corner of a square of size s^(i) × s^(i): all the pixels in the intersection of such square with the frame are set to the same randomly chosen color in{0, 1}^c。随机在扰动位置选择一个像素点,作一个正方形区域,正方形与原始扰动相交位置即我们更新扰动值的位置。
扫一扫
1284
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
