decision-based adversarial attacks_reliable attacks against black-box machine learning models

最新推荐文章于 2023-05-08 13:33:50 发布
最新推荐文章于 2023-05-08 13:33:50 发布
阅读量1.7k 收藏 11
点赞数 3
文章标签: 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32925101/article/details/111411449
版权

Decision-based adversarial attacks: Reliable attacks against black-box machine learning models

Decision-based adversarial attacks: Reliable attacks against black-box machine learning models

本文提出了一种boundary-based的攻击方法,本方法不需要模型的梯度信息或score信息,因此可进行白盒和黑盒攻击。本方法还攻破了防御蒸馏(defensive distillation),顺便对一大类通过隐藏梯度的防御方法判了死刑。

1. Introduction

首先比较了目前方法的优缺点:

Motivations

本文提出的原因:

  • score-based方法相比,decision-based攻击方法与真实世界相关性更强(where confidence scores or logits are rarely accessible. );
  • decision-based攻击方法相较于其它防御方法具有更加鲁棒的潜力;
  • transfer-based方法相比,decision-based方法需要的信息更少。

本文的工作及限定:

image-20201031233957106

  • 本文考虑的对抗场景:攻击者目的是要通过对抗样本统计改变模型的边界(目标/无目标),
  • 攻击者可以观察得到模型的最终决策,并且知道至少一个扰动(无论扰动多大)大扰动的的对抗样本。
Contributions
  • 强调了decision-based的攻击方法是非常重要的,且和真实世界更加的紧密相关,对于估量模型的鲁棒性是一个很重的方法;
  • 第一次提出了一种高效的decision-based的方法,可适用于不同复杂机器学习模型和数据集。边界攻击包括:1. 概念上非常简单的;2. 非常灵活的;3. 需要少量的超参调整;4. 可与最好的gradient-based攻击方法相媲美;
  • 提出的Boundary-attack可以打破之前建议的防御方法(防御蒸馏);
  • 展示了本方法在两个黑盒攻击下的实际应用效果。

2. boundary attack

总结:

  • Direct attacks that solely rely on the final decision pf the model;
  • Starts from a large adversarial perturbation and then seeks to reduce the perturbation while staying adversarial.

image-20201101094416057

在游走的时候,落入边界内的都是能正确分类的,然后即使这样在边界上也能找到一个距离original image最近的点。

image-20201101093723874

算法流程:

输入:原始图片+对抗扰动准则,模型的决策

输出:满足条件最小的对抗样本

  • 选择一个对抗样本作为初始点(start from a point that is already adversarial);
  • 然后进行随机游走(random walk),一方面要使得图片仍然是对抗样本;另一方面和原始图片的“distance”不能太远

执行完每一迭代步后:

  • Be an image([0, 255]);
  • don’t change too much;
  • be closer to original.

如何更新下一步的扰动(对抗图片)本质上是在对抗/非对抗边界上进行拒绝采样。

2.1 如何选择初始点

Boundary attack需要起始点就是对抗样本,因此如何选择初始点是个问题。

  • 在无目标攻击中,从一个可行域(是图片,[0, 255])中通过最大化化交叉分布抽样得到原始图片;
  • CV中,因为图片约束在[0,255],因此直接从[0,255]中均匀抽样得到初始点。(拒绝不是对抗样本的图片)
  • 对于目标攻击,直接选择被分类为目标类别的图片。
2.2 Proposal distribution

proposal distribution的选择决定了算法的效率,即如何选择游走方向。最佳的proposal distribution同样应该取决于要攻击的区域或模型,但是对于vision-related的问题,下面简单的分布就能满足要求:

image-20201101094620169

即扰动样本是图片;扰动不能太大;下一次游走的方向应该是要减小和原图片的distance。( d d d是根据模型的输出来决定的,如何决定?)

实际中选择的分布是一种更简单的启发式分布:

  • 首先,从标准高斯分布中抽样: η i k ∼ N ( 0 , 1 ) \eta_i^k \sim \mathcal{N}(0,1) ηikN(0,1),然后再对其进行rescaleclip,使得其满足上面的(1)、(2);
  • 第二步,将扰动 η k \eta^k ηk投影到一个以原始图片为中心的超球上,并满足: d ( o , o ~ k − 1 + η k ) = d ( o , o ~ k − 1 ) d\left(o, \tilde{o}^{k-1}+\eta^{k}\right)=d\left(o, \tilde{o}^{k-1}\right) d(o,o~k1+ηk)=d(o,o~k1),即分类仍然是错误的类别(对抗样本)。
  • 第三步,朝着原始图片移动一小步,使得(1)、(3)式满足。
2.3 Adversarial criterion

即如何判断一个被分类为对抗样本的图片是否是误分类。

一个可能的选择是模型预测的top-k误分类,或是某些置信度分数的top-k阈值中不包括原始的分类标签。

2.4 Hyper-parameter adjustment

image-20201101190629309

Boundary attack有两个相关的参数:

  • 最终的扰动大小 δ \delta δ
  • 朝着原始图片的步长 ϵ \epsilon ϵ

这两个参数都会随着边界的局部几何情况进行动态调整。方法受Trust Region method的启发。

一个点更新到下一个点的过程可分为两步,首先是在以原始图片为中心的超球上走一步,保证下一步得到的图片仍然是对抗样本,然后再朝着原始样本走一步。这两个步长都需要动态调整:

  • 首先是orthogonal step,这一步是在以原始图片为中心的超球上游走,是为了确定下一步游走的方向,以及这一步需要足够小。如上图所示,如果是对抗样本的概念大于50%,则增大步长;反之则减小步长。
  • 如果仍然是对抗样本,则再朝着原始图片走一小步。

3. Comparison with other attacks

首先对攻击成功率的评估指标定义两个一个metric
S A ( M ) = median ⁡ i ( 1 N ∥ η A , M ( o i ) ∥ 2 2 ) \mathcal{S}_{A}(M)=\operatorname{median}_{i}\left(\frac{1}{N}\left\|\boldsymbol{\eta}_{A, M}\left(\boldsymbol{o}_{i}\right)\right\|_{2}^{2}\right) SA(M)=mediani(N1ηA,M(oi)22)
式中, η A , M ( o i ) ∈ R N \eta_{A, M}\left(\boldsymbol{o}_{i}\right) \in \mathbb{R}^{N} ηA,M(oi)RN,表示的是攻击方法 A A A在模型 M M M下第 i i i-th样本上的扰动。 S A \mathcal S_A SA是最终的得分,定义为攻击方法 A A A下所有样本的 L 2 L_2 L2距离。

如下所示,gradient-basedTransfer-basedScore-based和本文提出的Boundary-based方法可分别进行目标/目标共攻击,本文仅比较gradient-based的三种方法,即FGSMDeepFoolC&W方法。

image-20201101203029482

3.1 Untargeted attack

image-20201101195729230

不同数据集得到的对抗样本和扰动

image-20201101195805111

上面的评价指标

image-20201101200005384

Boundary attack攻击作用过程示意,图片上面是需要调用模型的次数,下面是与原始图片的MSE

这样看来也有generative properties??

image-20201101202008142

  • 不同的初始图片,在扰动大小相同的情况下,最后得到的扰动情况也是相同的,即本方法的稳定性。
  • 与基于梯度方法相比,本方法不需要模型的详细信息,但是代价就是需要更多的迭代步才能收敛;
  • 不需要backward求解计算(不需要梯度)。
3.2 Targeted attack

image-20201101202555794

image-20201101203300710

4. The Importance of decision-based attacks to evaluate model robustness

Attack Defensive Distillation

image-20201101204530788

image-20201101204555754

  • 蒸馏模型对基于梯度的方法能有效防御(FGSM),但是对于Boundary Attack的方法无效(Defensive Distillation仍然是”隐藏“了梯度);
  • 对于本文提出的Boundary Attack可以攻破防御蒸馏,同时扰动变化的不大。一方面说明蒸馏防御并不能有效的提高模型的鲁棒性;另一方面也说明了Gradient Masking这一大类方法的失效。

5. Attacks on real-world applications

In many real-world machine learning applications the attacker has no access to the architecture or the training data but can only observe the final decision.

image-20201101205338559

攻击基于Clarifai的两个模型:一个是识别品牌的模型;一个是识别名人的模型。

6. Discussion & Outlook

  • 提出了Boundary Attack方法:decision-based black-box attack;
  • Pros:
    • 提出的方法可进行黑盒攻击,实用性很强,在真是物理世界中更有意义;
    • 不需要梯度等信息(没有模型的backward),因此基于”隐藏“梯度策略类方法并不能防御住本方法的攻击.
  • Cons:
    • 需要多次调用模型来达到收敛(forward);
    • 可能陷入局部极小值。

ion-based black-box attack;

  • Pros:
    • 提出的方法可进行黑盒攻击,实用性很强,在真是物理世界中更有意义;
    • 不需要梯度等信息(没有模型的backward),因此基于”隐藏“梯度策略类方法并不能防御住本方法的攻击.
  • Cons:
    • 需要多次调用模型来达到收敛(forward);
    • 可能陷入局部极小值。
tangagui
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
论文那些事—DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS
shuweishuwei的博客
11-11 2881
DECISION-BASED ADVERSARIAL ATTACKS:RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS(ICLR2018) 1、摘要/背景 目前用于生成对抗扰动的大多数方法要么依赖于详细的模型信息(基于梯度的攻击),要么依赖于置信度分数,例如类概率(基于分数的攻击),这两种能力在大多数现实世界场景中都不可用。在许多此类情况下,人们目前需要退回到基于迁移的攻击,这些攻击依赖于繁琐的替代模型,而且需要访问训练数据并且可以防.
DECISION-BASED ADVERSARIAL ATTACKS: RELIABLE ATTACKS AGAINST BLACK-BOX MACHINE LEARNING MODELS 论文解读
kking_edc的博客
11-10 1490
Abstract 这篇文章中我们介绍了Boundary Attack, a decision-based attack that starts from a large adversarial perturbation and then seeks to reduce the perturbation while staying adversarial。这种攻击在概念上十分简单,requires close to no hyperparameter tuning,并不依赖于替代模型 and is compe
Decision-based-Attacks-PyTorch:基于决策的攻击PyTorch实现
03-13
基于决策的攻击PyTorch 基于决策的攻击PyTorch实现 (面部性别数据集)针对性别分类的非针对性边界攻击 (CelebA HQ数据集)性别分类的无针对性边界攻击
DECISION-BASED ADVERSARIAL ATTACKS: RELIABLE ATTACKS AGAINST BLACK-BOX MACHI
wangsanNOLOVE的博客
11-22 226
# DECISION-BASED ADVERSARIAL ATTACKS: RELIABLE ATTACKS AGAINST BLACK-BOX MACHI
A Geometry-Inspired Decision-Based Attack论文解读
kking_edc的博客
11-11 626
Abstract In this paper, we propose qFool, a novel decision-based attack algorithm that can generate adversarial examples using a small number of queries. The qFool method can drastically reduce the number of queries compared to previous decision-based atta
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗性攻击以生成对抗性示例。...adversarial_images = atk ( images , labels ) :warning: 预防措施 在用于攻击之前,应使用transform [to.Tensor()]将所有图像缩放为
IQA-CNN-Adversarial-Attacks:针对基于CNN的图像分类(数据集)的对抗性攻击的感知评估
02-22
IQA-CNN-Adversarial-攻击 基于CNN的图像分类的对抗性攻击的感知评估(数据集) 介绍 深度神经网络(DNN)最近获得了最先进的性能,并在许多机器学习任务中取得了重大进展。 但是,最近的研究表明,DNN容易受到对抗...
Decision-Based Adversarial Attack With Frequency Mixup
11-16
【决策基对抗攻击与频域混频】 深度神经网络(DNNs)在计算机视觉、语音识别等众多领域已经超越了传统的机器学习方法,但它们对对抗性示例的脆弱性是一个显著的问题。对抗性攻击是指通过微小的输入扰动来欺骗DNN...
Defending_Machine_Learning_against_Adversarial_Attacks.pdf
08-08
Deep Learning and Applications A Brief Overview of Deep Learning Adversarial and Fooling Samples Adversarial Noise Fooling Samples Training Robust Neural Networks(ICPR'16) The Random Projection ...
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
最新发布
10-13
Improving Adversarial Transferability via Neuron Attribution-Based Attacks 深度神经网络(DNNs)已经被部署在许多安全关键的实际应用中,如自动驾驶和医疗诊断等。然而,DNNs易受对抗样本的攻击,这些攻击可能...
Foolbox-Decision-based-Attack-Baseline:Foolbox基于决策的攻击基准
03-27
Foolbox基于决策的攻击基准 Foolbox基于决策的攻击基准 原始源代码: :
substitute_boundary_attack:机器学习2021课程的最终项目。替代模型边界攻击的实现
03-21
代理模型可帮助黑匣子对抗攻击 Skoltech的E.Burnaev,A.Zaytsev等人的《机器学习2021》课程 团队成员:Matvey Morozov,Anna Klueva,Elizaveta Kovtun,Dmitrii Korzh 介绍 对抗攻击是一种利用深度学习模式的非稳健性的方法,这意味着对输入的轻微修改可能导致模型无法获得正确的答案。在该项目中,我们考虑针对图像分类问题对深层神经网络进行边界黑箱对抗攻击的修改。在生成攻击示例的过程中,我们基于受攻击模型的替代模型使用了额外的步骤。 我们对替代边界攻击的实现基于 FoolBox框架实现 论文: : 和 依赖关系和要求 该实现是基于GPU的。单个GPU(〜GTX 1080 ti)足以运行每个特定的实验。主要先决条件是: foolbox==3.3.1 torch==1.6.0+cu101 torchvision=0.7
论文阅读 Decision-based Black-box Adversarial Attacks
Struggling_orange的博客
11-22 2562
Efficient Decision-based Black-box Adversarial Attacks on Face Recognition 这篇文章主要做了以下几个工作: 1.提出了一个在基于决策的黑盒场景下的进化攻击方法,可以对搜索方向的局部几何进行建模,同时降低搜索空间的维度。 2.利用基于决策的黑盒攻击方法,对几种最先进的人脸识别模型(SphereFace,...
【对抗攻击论文笔记】Decision-Based Adversarial Attack With Frequency Mixup
ji_meng的博客
05-11 1530
今天分享的论文是来自IEEE的 Decision-Based Adversarial Attack With Frequency Mixup,首先来看一下这篇论文的motivation 先来做个简单介绍吧,我们常说的对抗攻击分为黑盒攻击和白盒攻击,黑盒攻击可以分为基于迁移的攻击,和基于查询的攻击。基于查询的攻击一般依赖于替代模型,并且需要访问训练数据。基于查询的攻击还可以进一步分为基于分数的攻击和基于决策的攻击。在给定输入的情况下,目标模型计算每个可用类别的概率,并将概率最高的类别(即TOP-1概率)作为最
Efficient Decision-based Black-box Adversarial Attacks on Face Recognition论文解读
AlbertHUBU的博客
06-15 944
文章的主要贡献:1.提出了一个在基于决策的黑盒场景下的进化攻击方法,可以对搜索方向的局部几何进行建模,同时降低搜索空间的维度。 2.利用基于决策的黑盒攻击方法,对几种最先进的人脸识别模型(SphereFace, CosFace, ArcFace)做了鲁棒性测评,并展示了这些人脸模型的脆弱性。 3.通过对真实世界中的人脸识别系统进行攻击,展示了提出的方法的实际适用性。 ———————————————— 版权声明:本文为CSDN博主「努力奋斗的小橙子」的原创文章,遵循CC 4.0 BY-SA版权协议,转..
基于决策的黑箱攻击——Boundary Attack
tyh70537的博客
05-20 3292
一、引言 基于决策的黑箱攻击是对抗攻击的一大类,优点是不需要目标模型的任何信息,只需要知道目标模型对于给定输入样本的决策结果。本文主要介绍基于决策的黑箱攻击的开山之作——Boundary Attack,论文为: Brendel W A R J. Decision-based adversarial attacks: reliable attacks against black-box machine learning models. arXiv preprint arXiv:1712.04248, 201
黑盒边界攻击:SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK-ICLR 2020
xunbaobao123的博客
03-31 3494
黑盒边界攻击:SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK-ICLR 2020 @[TOC]目录
【每周CV论文推荐】基于GAN的对抗攻击,适合阅读那些文章入门?
hacker_long的专栏
09-30 1396
欢迎来到《每周CV论文推荐》。在这个专栏里,还是本着有三AI一贯的原则,专注于让大家能够系统性完成学习,所以我们推荐的文章也必定是同一主题的。在图像分类的对抗攻击任务中,如果在图片上添加一个很小的扰动,虽然图像没有显著的视觉变化,但其可令分类器出现类别误判,这是GAN的一个重要应用领域。本文将推荐7篇对抗攻击的相关论文。作者&编辑 | 小米粥编辑 | 言有三1. BFGS对抗攻击领域的开山...
Aha! Adaptive History-driven Attack for Decision-based Black-box Models
weixin_45184581的博客
05-08 512
基于决策的黑盒攻击指的是只使用受害者模型的前1个标签来制作对抗示例。一种常见的做法是从一个大的扰动开始,然后用一个确定的方向和一个随机的方向迭代地减少它,同时保持它的对抗性。从每个查询中获得的有限信息和低效的方向采样阻碍了攻击效率,使得在有限的查询数量中很难获得足够小的扰动。为了解决这一问题,我们提出了一种新的攻击方法,称为自适应历史驱动攻击(AHA),它从所有历史查询中收集信息作为当前采样的先验。此外,为了平衡确定性方向和随机方向,我们根据实际减幅与预期减幅的比值动态调整系数。
Towards Deep Learning Models Resistant to Adversarial Attacks
04-03
Adversarial attacks are a major concern in the field of deep learning as they can cause misclassification and undermine the reliability of deep learning models. In recent years, researchers have proposed several techniques to improve the robustness of deep learning models against adversarial attacks. Here are some of the approaches: 1. Adversarial training: This involves generating adversarial examples during training and using them to augment the training data. This helps the model learn to be more robust to adversarial attacks. 2. Defensive distillation: This is a technique that involves training a second model to mimic the behavior of the original model. The second model is then used to make predictions, making it more difficult for an adversary to generate adversarial examples that can fool the model. 3. Feature squeezing: This involves converting the input data to a lower dimensionality, making it more difficult for an adversary to generate adversarial examples. 4. Gradient masking: This involves adding noise to the gradients during training to prevent an adversary from estimating the gradients accurately and generating adversarial examples. 5. Adversarial detection: This involves training a separate model to detect adversarial examples and reject them before they can be used to fool the main model. 6. Model compression: This involves reducing the complexity of the model, making it more difficult for an adversary to generate adversarial examples. In conclusion, improving the robustness of deep learning models against adversarial attacks is an active area of research. Researchers are continually developing new techniques and approaches to make deep learning models more resistant to adversarial attacks.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值