对抗攻击
文章平均质量分 60
道2024
AI安全
展开
-
OPPO安全挑战赛之人脸安全对抗初赛
模型介绍核心思想 给定原创 2021-08-10 08:28:34 · 570 阅读 · 2 评论 -
对抗攻击2——FGSM(Fast Gradient Sign Method)
FGSM被设计用于在给定的输入样本中快速找对抗扰动方向,并使得目标模型的训练损失增大,减小分类置信度,增大内类类别混淆的可能性。使训练损失增大的对抗扰动的方向并不能保证模型误分类,但是对抗扰动的梯度方向比其它的方向更有可能导致模型误分类。 FGSM通过计算损失函数关于输入样本的的梯度,对梯度进行sign\mathrm{sign}sign操作,并乘以一个约束参数ϵ\epsilonϵ,具体的公式如下所示:x′=x+ϵ⋅sign(∇xL(x,y)),x^{\prime}=x+\epsilon\cdot \ma原创 2021-04-06 10:13:25 · 1057 阅读 · 0 评论 -
对抗攻击8——CW(Carlini & Wagner)
卡利尼和瓦格纳[44]引入了一系列攻击来寻找最小化不同相似性度量的对抗性扰动:L0、L2和L∞等。核心观点是将类似于BFGS攻击的一般约束优化策略31转化为无约束优化公式中经验选择的损失函数:LCW(x′,t)=max(maxi≠t{Z(x′)(i)}−Z(x′)(t),−κ)\mathcal{L}_{C W}\left(x^{\prime}, t\right)=\max \left(\max _{i \neq t}\left\{Z\left(x^{\prime}\right)_{(i)}\righ原创 2021-04-06 09:40:22 · 3857 阅读 · 0 评论 -
对抗攻击5——R+FGSM
R+FGSM又称随机单步攻击,在应用FGSM产生的对抗扰动之前,给在输入样本中增加一个小的随机扰动。这有助于避免梯度Mask的防御策略。Tramer等人提出了有许多正交的对抗方向,局部损失梯度不一定转化为模型整体损失最大的方向。这会被错误地认为经过对抗训练的模型对看不见的对抗样本是鲁棒的。...原创 2021-04-04 19:18:17 · 897 阅读 · 0 评论 -
对抗样本4——ILLCM(Iterative Least-Likely Class Method)
BIM的作者还提出了一种有针对性攻击变体,称为Iterative Least-Likely Class Method(ILLCM),其目标是生成一个对抗样本,该样本被错误地分类为特定的目标类ttt。事实上,ILLCM将原始分类器选择的可能性最小的类为目标,即t=argminf(x)t = \arg \min f(x)t=argminf(x)。相应的迭代更新公式如下所示:xi+1′=Clipϵ{xi′−α⋅sign(∇xL(xi′,t))} for i=0 to&nbs原创 2021-04-04 09:35:01 · 783 阅读 · 0 评论 -
对抗攻击3——BIM(Basic Iterative Method)
Basic Iterative Method是许多个FGSM方法的拓展之一,有时候它也被称作I-FGSM。BIM是FGSM多次迭代的版本,其中总的对抗扰动量为∥r∥∞≤ϵ\|r\|_{\infty} \leq \epsilon∥r∥∞≤ϵ。由BIM生成对抗样本的具体形式如下所示:xi+1′=Clipϵ{xi′+α⋅sign(∇xL(xi′,y))}i=0,⋯nandx0′=xx^{\prime}_{i+1}=Clip_{\epsilon}\{x_i^{\prime}+\alpha\cdot\mathr原创 2021-04-03 20:48:56 · 3477 阅读 · 0 评论 -
对抗攻击1:L-BFGS(Limited Memory Broyden-Fletcher-Goldfarb-Shanno)
L-BFGS是最早被设计攻击深度神经网络模型的对抗攻击算法。它的最终目标是在输入的约束空间中找到一个不可察觉的最小输入扰动argminr∥r∥2\arg \min\limits_r \|r\|_2argrmin∥r∥2,即r=x′−xr=x^{\prime}-xr=x′−x,并使模型分类出错y^(x′)≠y\hat{y}(x^{\prime})\neq yy^(x′)=y。Szegedy等人使用L-BFGS算法将这个困难求解的优化问题转换成一个盒约束的形式,其目标是找到对抗样本x′x^{\p原创 2021-04-03 17:06:06 · 3211 阅读 · 0 评论