【对抗样本】Downstream-agnostic Adversarial Examples

最新推荐文章于 2024-06-15 22:10:51 发布
最新推荐文章于 2024-06-15 22:10:51 发布
阅读量968 收藏 15
点赞数 16
文章标签: 计算机视觉
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nbwjszd/article/details/135842367
版权

原文标题: Downstream-agnostic Adversarial Examples
原文代码: https://github. com/CGCL-codes/AdvEncoder
发布年度: 2023
发布期刊: ICCV

摘要

Self-supervised learning usually uses a large amount of unlabeled data to pre-train an encoder which can be used as a general-purpose feature extractor, such that downstream users only need to perform fine-tuning operations to enjoy the benefit of “large model”. Despite this promising prospect, the security of pre-trained encoder has not been thoroughly investigated yet, especially when the pre-trained encoder is publicly available for commercial use. In this paper, we propose AdvEncoder, the first framework for generating downstream-agnostic universal adversarial examples based on the pre-trained encoder. AdvEncoder aims to construct a universal adversarial perturbation or patch for a set of natural images that can fool all the downstream tasks inheriting the victim pre-trained encoder. Unlike traditional adversarial example works, the pre-trained encoder only outputs feature vectors rather than classification labels. Therefore, we first exploit the high frequency component information of the image to guide the generation of adversarial examples. Then we design a generative attack framework to construct adversarial perturbations/patches by learning the distribution of the attack surrogate dataset to improve their attack success rates and transferability. Our results show that an attacker can successfully attack downstream tasks without knowing either the pre-training dataset or the downstream dataset. We also tailor four defenses for pre-trained encoders, the results of which further prove the attack ability of AdvEncoder.

背景

自监督学习 (SSL) 是一种新兴的机器学习范式,旨在克服标记数据的限制。它通常使用大量未标记的数据来预训练通用编码器,该编码器可以用作各种下游任务的特征提取器,但同时预训练的编码器对于攻击也是脆弱的。

然而,现有文献中对预训练编码器的安全性的考虑没有涉及对抗样本的问题。 针对预训练编码器构建对抗性示例与其传统攻击路线有很大不同,因为攻击者不了解下游任务。换句话说,攻击者需要在不知道其任务类型、预训练数据集和下游数据集的情况下攻击 DNN,即使整个模型将进行微调。

创新点

在这项工作中,我们研究的是对训练编码器的对抗性样本。我们考虑对抗性扰动和补丁。前者具有高度的不可察觉性,而后者是可见的,但仅限于图像的一个小区域,更容易应用于物理世界。此外,在不了解下游数据的情况下,我们的目标是实现通用对抗性攻击 ,其中一种对抗性扰动或补丁适用于一组自然图像,并可能导致模型错误分类。

具体来说,我们提出了 AdvEncoder,这是一种新颖的攻击框架,用于生成与下游无关的通用对抗示例。最具挑战性的工作在于解决缺乏监督信号和有关下游任务的信息的问题。受深度神经网络偏向于图像纹理特征的启发,纹理信息的变化,即图像的高频分量(HFC)极有可能引起模型决策的变化。我们首先利用高频分量滤波器来获得良性和对抗性样本的HFC,并尽可能地拉出它们的欧几里得距离来影响模型的决策。然后,我们设计了一个生成攻击框架,通过学习数据的分布,以固定的随机噪声作为输入,构建具有高攻击成功率和可迁移性的对抗性扰动或补丁。

模型

  1. threat model

假设攻击者可以访问预训练编码器,但对预训练数据集和下游任务一无所知。攻击者的目标是进行非针对性的对抗性攻击,以禁用下游任务或损害其准确性。具体来说,攻击者使用预先训练的编码器来设计一个下游不可知的通用对抗性扰动或补丁,该扰动或补丁适用于来自不同数据集的各种输入图像。然后,对抗性示例可能会误导所有继承受害者预训练编码器的下游分类器。我们还假设下游任务使用者(以下称为用户)能够针对其原因微调线性层或预训练编码器,并且模型提供者可以采用对抗训练等常见防御措施来净化编码器。

  1. 问题定义

给定一个输入 x ∈ Dp 给一个预训练编码器 gθ(·),该编码器返回一个特征向量 v ∈ V。攻击者使用攻击者的代理数据集 Da(与预训练数据集 Dp 和下游数据集 Dd 无关)来生成针对预训练编码器的通用对抗性噪声。此外,通用对抗噪声δ应该足够小,并通过 lp 范数的上限ε进行建模。这个问题可以表现为:
在这里插入图片描述
对于下游分类器也有类似的分类错误:
在这里插入图片描述
3. 背后的动机

预训练编码器为相似图像输出相似的特征向量,这些图像在特征空间中靠得很近,与其他类别的图像相距甚远。下游任务会根据这些特征向量输出决策,因此攻击者需要尽可能地将对抗样本推离其在特征空间中的初始位置。

  • 挑战一:预训练编码器中缺乏监督信号。

当攻击者将图像馈送到预训练的编码器时,它只获取相应的特征向量,而不是标签。在监督学习中,使用对抗样本的传统方法有效地攻击预训练编码器是不可行的。因此,一个直观的想法是向样本添加一个较大的预算扰动,使预先训练的编码器对其进行错误分类。然而,通过实验发现大的预算扰动不一定能实现上述目标,而可能只是同一类内部的内部运动,而不是偏离该类的方向。
最近的研究表明,具有高频特性的表面统计内容对于DNN是必不可少的,对抗性扰动也具有这种特性。因此,我们建议使用通用对抗噪声来改变图像的高频分量,即纹理信息,以影响预训练编码器的输出。它在监督学习中起到了标签引导的作用,从直接改变图像本身语义的角度出发,更容易将目标样本推出原始决策边界。

挑战二:缺乏下游任务的信息。

在预训练编码器到下游任务范例中,微调会影响模型的原始特征边界,上述方法只是愚弄预训练编码器,几乎无法影响下游任务决策。因此,我们希望通过小扰动范围下的通用对抗噪声使对抗样本与原始类别足够远。因此,下游分类器将基于特征向量的明显相似性而被误导。鉴于生成网络在生成固定模式特征方面的卓越能力,我们进一步设计了生成攻击框架来提高通用对抗噪声的泛化能力。如图2(d)所示,所有目标样本将在特征空间中聚集在一起并远离所有正常样本,使得下游任务难以正确分类目标样本。

4.具体模型
AdvEncoder 的流程如图 3 所示。它由对抗生成器 G、高频滤波器 H 和受害者编码器 E 组成。具体来说,我们设计了一个基于频率的生成攻击框架来生成通用对抗噪声。通过将固定噪声 z 输入对抗生成器,我们获得通用对抗噪声并将其粘贴到攻击者代理数据集 Da 的目标图像上,以获得对抗示例 xadv。
在这里插入图片描述
损失函数:
在这里插入图片描述

  • 对抗性损失函数 L a d v L_{adv} Ladv
    通过最大化编码器输出的正常样本和对抗样本之间的特征向量距离来增强通用对抗噪声的攻击强度。我们采用InfoNCE损失来衡量预训练编码器g(·)的输出特征向量之间的相似度。具体来说,我们将良性样本 xi ∈ Da 和对抗性样本 xadv i 视为负对,拉开它们的特征距离。因此Ladv可表示为:
    在这里插入图片描述

  • 高频分量损失函数 L h f c L_{hfc} Lhfc
    由于缺乏标签信息的指导,仅通过添加噪声来推开输出嵌入在特征空间中的位置需要大量的扰动预算。 Lhfc通过修改高频成分来改变图像原有的语义特征,进一步分离出目标样本的位置。我们可以通过高频分量滤波器H获得图像的HFC。高频分量损失Lhfc可以形式化为:
    在这里插入图片描述

  • 质量损失函数Lq
    为了实现更好的隐身性,我们在每次优化后使用 Lq 来控制生成器和裁剪 δ 输出的对抗性噪声的大小,以确保其满足约束 ε 。
    在这里插入图片描述

实验

1.设置:选择14个自监督模型。攻击者的代理数据集要CIFAR10为默认设置。下游任务选取了4个图像数据集。使用攻击成功率作为评估指标。两个任务:图像分类喝图像检索。我们选择图像的右下角(不容易看到)来应用补丁。我们设置超参数 α = 1, β = 5, λ = 1。
2. 实验结果
两个攻击设置表现良好。Adv-PAT在不同设置下具有始终如一的高攻击性能,平均ASR超过90%。 其次,攻击者的代理数据集对攻击性能有影响,例如ImageNet代理数据集优于CIFAR10。当攻击者的代理数据集与预训练数据集和下游数据集相似时,AdvEncoder 的性能更好。

薄荷奶绿Yena
关注
  • 16
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
downstream-node:Storj 网络的验证节点
06-18
下游节点 掌握: 开发: 目前在运行。 你可以在那里看到农民的状况。 这是什么我什至不知道? downstream-node是的服务器。 是的,这是客户端/服务器关系。 downstream-node需要 MySQL 和工作配置。 隐含的第一步是下载并安装 MySQL 服务器。 例如,在 Ubuntu 上: $ apt-get -y install mysql-server 获取下游节点的某些依赖项所需的 libcrypto 和 libgmp。 $ apt-get -y install libcrypto++-dev libgmp-dev mongodb 获取downstream-node : $ git clone https://github.com/Storj/downstream-node.git $ cd downstream-node $ pip insta
downstream-farmer:Storj 农民的客户端软件
06-24
下游农民 这是什么? downstream-farmer与交谈。 为了使用它,您需要启动并运行一个节点。 downstream-node需要 MySQL 和工作配置,但这个应用程序downstream-farmer需要 python-dev 和 libcrypto++-dev 从源代码安装。 您可以在所有主要操作系统上安装和使用downstream-farmer : Ubuntu $ sudo apt-get install python-dev libcrypto++-dev libgmp-dev git python-pip $ pip install --process-dependency-links downstream-farmer 建议在 Python 虚拟环境中运行 pip install 以防止与系统 Python 和包的潜在冲突。 操作系统 $ brew ta
downstream-service
05-02
使用Spring Cloud Sleuth进行日志跟踪 该项目展示了如何在Spring Boot应用程序网络中实现跟踪。 伴侣博客文章 可以在找到该存储库的配套博客文章。 入门 该应用程序是面向用户的服务(“下游”服务),意味着它访问其他上游服务以提供其功能。 使用./gradlew bootrun启动 使用./gradlew bootrun启动此服务 打开http://localhost:8080/customers-with-address/{id} ,其中1-50的ID将返回有效的HTTP 200响应,其他ID将返回错误响应。 查看这两个服务的日志文件,并验证两者都包含相同的跟踪ID。
【多模态对抗】AdvCLIP: Downstream-agnostic Adversarial Examples in Multimodal Contrastive Learning
nbwjszd的博客
03-07 881
原文标题: AdvCLIP: Downstream-agnostic Adversarial Examples in Multimodal Contrastive Learning 原文代码: https://github.com/CGCL-codes/AdvCLIP 发布年度: 2023 发布期刊: ACM MMMultimodal contrastive learning aims to train a general-purpose feature extractor, such as CLIP, o
NLP领域模型对抗攻击简介
qq_44733706的博客
08-08 1810
攻击NLP模型方法的简单总结
NLP之GPT-3:《 Language Models are Few-Shot Learners》的翻译与解读
热门推荐
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
07-29 1万+
​ NLP之GPT-3:《 Language Models are Few-Shot Learners》的翻译与解读 目录 相关文章 《GPT-3: Language Models are Few-Shot Learners》的翻译与解读 Abstract 摘要 1 Introduction 介绍 2 Approach方法 3 Results 结果 4 Measuring and Preventing Memorization Of Ben
PyPI 官网下载 | berserk-downstream-0.11.6.tar.gz
02-11
资源来自pypi官网。 资源全名:berserk-downstream-0.11.6.tar.gz
downstream-dash:DriveShare下游验证节点的公共仪表板
05-16
DriveShare实时仪表板 这是一个公共仪表板,显示与DriveShare下游验证节点进行交互的农民。 我可以看到它吗? 是的! 只需访问。 您的浏览器将需要支持WebGL。 这是什么意思呢?...在侧边栏顶部,我们指示曾经与此验证...
计算机视觉的详细学习计划
m0_61843258的博客
06-13 457
实践:深入学习Faster R-CNN、YOLO、Mask R-CNN、U-Net等算法。- 实践:用TensorFlow和PyTorch实现基础的神经网络、CNN、RNN等。- 实践:实现Haar级联分类器、HOG + SVM、YOLO等目标检测算法。- 实践:实现和使用常见的图像分割算法,如阈值分割、GrabCut等。- 实践:结合实际项目进行实践,如人脸识别、自动驾驶、医学影像分析等。- 实践:使用SIFT、SURF、ORB等算法进行图像匹配。
计算机视觉与深度学习实战,Python为工具,最小误差法的胸片分割技术
一个好知识的传播者
06-12 841
本文介绍了以Python为工具,基于最小误差法的胸片分割技术。通过该技术,可以实现对胸部X片中病变区域的自动分割,提高肺癌诊断的准确性和效率。未来,随着计算机视觉和深度学习技术的不断发展,相信会有更多的新技术和新方法被应用到医学图像分割中,为医疗领域的发展做出更大的贡献。
C# OpenCvSharp 代数运算-add、scaleAdd、addWeighted、subtract、absdiff、multiply、divide
cncWay的博客
06-15 1022
1.add-将两幅图像进行相加,可以达到图像融合的目的。 2.scaleAdd-将两幅图像进行相加,第一幅图像乘上比例因子加上第二幅图像。 3.addWeighted-将两幅图像进行相加,每幅图像可以设置自己的权重。 4.subtract-将两幅图像进行相减,可以得到图像差分结果,凸显某些细节特征。 5.absdiff-将两幅图像进行相减并取绝对值,可以得到图像差分结果,凸显某些细节特征。 6.multiply-将两幅图像进行相乘运算。 7.divide-将两幅图像进行相除运算。
计算机视觉与深度学习实战,Python为工具,基于光流场的车流量计数应用
一个好知识的传播者
06-06 1217
计算机视觉是一门研究如何使机器从数字图像或视频中提取、分析和理解有用信息的学科。它涉及图像处理、计算机图形学、人工智能等多个领域的知识。深度学习作为机器学习的一个分支,通过模拟人脑神经网络的工作方式,实现对数据的自动学习和特征提取。在计算机视觉领域,深度学习技术被广泛应用于图像分类、目标检测、图像分割等任务。本文介绍了以Python为工具,基于光流场的车流量计数应用。通过计算机视觉和深度学习技术的结合,实现了对交通视频中车辆运动的检测和车流量的计数。
C# OpenCvSharp Mat操作-操作符重载
cncWay的博客
06-11 294
在C#中使用OpenCvSharp进行图像处理时,操作符重载可以使代码更加简洁和直观。
C# OpenCvSharp Mat操作-创建Mat-colRange
cncWay的博客
06-11 428
在OpenCvSharp中,colRange函数用于从一个Mat对象中选择一个指定的列范围,并返回一个新的Mat对象,该对象包含原始Mat中的列范围数据。这个函数非常有用,当你只需要处理图像的一部分时,可以显著提高处理效率。
车牌号识别(低级版)
qq_53821866的博客
06-13 224
【代码】车牌号识别(低级版)
C# OpenCvSharp 逻辑运算-bitwise_and、bitwise_or、bitwise_not、bitwise_xor
最新发布
cncWay的博客
06-15 377
1.bitwise_and 来提取图像中的某些部分。 2.bitwise_or 来合并两个图像的感兴趣区域。 3.bitwise_not 来生成图像的反相图像。 4.bitwise_xor 来比较两张图像的不同部分。
语义分割和目标检测的关系
lbr15660656263的博客
06-12 840
分类最终体现在对每个潜在框分类的11channel上,每个channel代表一个 分类,取值最大的channel作为最终分类;位置信息会用4个值来保存:被分类 的物体中它的框的坐标则为左上角的x和y坐标,以及宽和高的尺寸。对于语义分割来说,它提供的信息中位置信息和分类信息是有重叠的,即 通过标记每个像素的分类,同时也达到提供位置信息。目标检测的任务是对输入的图像进行物体检测,标注物体在图像上的位 置,以及该位置上物体属于哪个分类。语义分割的任务是对输入的图像进行逐像素的分类,标记出像素级别的物体。
计算机视觉】人脸算法之图像处理基础知识(四)
qq_42782701的博客
06-15 726
图像插值和平移
upstream和downstream
04-11
"upstream"和"downstream"都是指河流流向的方向,"upstream"代表河流向上游的方向,而"downstream"则代表河流向下游的方向。在信息技术中,这两个词也被用作网络流量的方向。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值