1、NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS(ICLR)
contribution:Nesterov Iterative Fast Gradient Sign Method (NI-FGSM) and Scale-Invariant attack Method (SIM)
preliminary:
- Fast Gradient Sign Method (FGSM).
- Iterative Fast Gradient Sign Method (I-FGSM)
- Projected Gradient Descent (PGD)
- Momentum Iterative Fast Gradient Sign Method (MI-FGSM)
- Diverse Input Method (DIM)
- Translation-Invariant Method (TIM)
- Carlini & Wagner attack (C&W).
defence methods:
- Adversarial Training.
- Input Modification.
methodology:
motivation: And the adversarial examples can be viewed as the training parameters of the model. Then in the testing phase, the black-box models to evaluate the adversarial examples can be viewed as the testing data of the model.From the perspective of the optimization, the transferability of the adversarial examples is similar with the generalization ability of the trained models.
从上述角度出发,我们迁移模型泛化中方法到对抗样本迁移性增强当中,而模型泛化能力增强的方法主要有两类组成:1.更好的优化算法(ADAM优化器等)2、数据增强
因此,对抗样本迁移的方法对应的为:1、更好的优化算法(将动量引入到对抗样本优化生成中,alleviates the trade-off between the attack ability and the transferability)2、模型增强(在攻击时选择更多的模型进行攻击),对应到本文中则是NI-FGSM和SIM
NI-FGSM
在介绍NI-FGSM前,需要介绍Nesterov Accelerated Gradient方法,传统的动量方法的公式如下:
但是这个时候我们可以思考在对梯度更新时,我们将
v
t
v_t
vt的更新公式代入位置更新中得到
x
t
=
x
t
−
1
−
v
t
=
x
t
−
1
−
γ
v
t
−
1
−
η
t
∇
f
t
x_t = x_{t-1} - v_t = x_{t-1} - \gamma v_{t-1} - \eta_t \nabla f_{t}
xt=xt−1−vt=xt−1−γvt−1−ηt∇ft,
我们可以看到这个更新项有两项,第一项是前一次的速度更新量,第二项则是当前的梯度,那我们就可以思考,既然一定会走
γ
v
t
−
1
\gamma v_{t-1}
γvt−1的位置,为什么不将第二项中的梯度改为走完
γ
v
t
−
1
\gamma v_{t-1}
γvt−1之后位置的梯度作为更新项,这样可以再根据前进之后的梯度再前进,会把每次动量更新的步数增加,加速收敛!事实也正是如此。
因此改进后的更新公式为:
v
t
=
γ
v
t
−
1
−
η
t
∇
(
f
t
−
γ
v
t
−
1
)
v_t = \gamma v_{t-1} - \eta_t \nabla (f_{t} - \gamma v_{t-1})
vt=γvt−1−ηt∇(ft−γvt−1)
x
t
=
x
t
−
1
−
v
t
x_t = x_{t-1} - v_t
xt=xt−1−vt
NAG的等效公式:
NAG本质上是多考虑了目标函数的二阶导信息,怪不得可以加速收敛了!其实所谓“往前看”的说法,在牛顿法这样的二阶方法中也是经常提到的,比喻起来是说“往前看”,数学本质上则是利用了目标函数的二阶导信息。
在原始形式中,NAG算法相对于Momentum的改进在于,以“向前看”看到的梯度而不是当前位置梯度去更新。经过变换之后的等效形式中,NAG算法相对于Momentum多了一个本次梯度相对上次梯度的变化量,这个变化量本质上是对目标函数二阶导的近似。由于利用了二阶导的信息,NAG算法才会比Momentum具有更快的收敛速度。
因此对应的以NAG为思想的对抗样本生成算法如下:
作者进一步将dong中动量引入进行了扩展,引入NAG生成AE
SIM
Besides considering a better optimization algorithm for the adversaries, we can also improve the
transferability of adversarial examples by model augmentation.
首先,作者定义了两个概念:loss-preserving Transformation 和Model augmentation
前者主要是指在输入保持不变和输入经过一定变换输入网络后,输出的损失函数保持不变。
后者则是在前者情况下可以将模型改变为另外一个模型:即
g
(
x
)
=
f
(
Γ
(
x
)
)
g(x) = f(\varGamma(x))
g(x)=f(Γ(x)),这也就是model augmentation。
To get the loss-preserving transformation, we discover that deep neural networks might have the
scale-invariant property, besides the translation invariance.
基于上述定义和分析,SIM求解对抗样本的优化问题为:
where,
S
i
(
x
)
=
x
/
2
i
S_i(x) = x / 2^i
Si(x)=x/2i, m则定义为尺度比例变换的数目,即多少中loss-preserving变换,这种方法极大的简化了训练更多的模型取增强对抗样本的迁移性,极大的减少了计算量。
SI-NI-FGSM
即将上述两种方法应用到一般的FGSM攻击算法当中,此外作者还考虑了所提算法与其他对抗样本迁移性增强的方法进行结合,例如DIM, TIM, TI-DIM,更进一步的增强的对抗样本的迁移性。
2、Boosting Adversarial Attacks with Momentum
- momentum iterative gradient-based methods
- attack multiple models simultaneously by studying several ensemble approaches
momentum的引入
该方法的扰动不再是梯度乘上幅值,而是将迭代中前一步的梯度也引入更新当中,即introduce momentum.
Attacking ensemble of models
Further ,他进一步的将attack multi-model应用于对抗样本迁移性增强当中。
we propose to attack multiple models whose logit activations are fused together, and we call this method ensemble in logits.
作者进一步扩展描述了引入动量之后的其他对抗攻击方法,详细可以阅读原文。
相关效果图:
可以看到随着迭代次数增加,引入向量的对抗攻击方法的成功率基本不变,但是未引入的在gradually decrease.
3、Ensemble adversarial training: Attacks and defenses
扫一扫
4838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
