通过删除高频信息实现对抗攻击
通过最小化对抗损失,优化量化表,选择性的删除输入图像的信息,实现攻击。(通过尽可能小的增大量化表,损失尽可能少量的高频信息实现攻击。)能够最小化图像损失实现高成功率攻击,在多种主流防御方法之下也能实现高成功率的攻击。
JPEG压缩原理
DCT和IDCT分别是将空域图像转换为频域图像和频域图像转换为空域图像。
JPEG 算法处理的彩色图像是单独的彩色分量图像,因此它可以压缩来自不同色彩空间的数据,如 RGB,YcbCr 和 CMYK。
JPEG压缩主要通过量化部分实现,通过增大量化表,损失更多高频信息,实现更大的压缩率。
JPEG压缩图像简述为RGB图像–彩色分量图像–分块–DCT变换–量化–编码
JPEG解压缩简述为编码–IDCT变换–合并块–彩色分量图像–RGB图像。
实验方法
优化函数:
Qdiff表示量化函数,D和Di分别表示DCT变换和IDCT变换,qinit表示量化表的初值。
损失函数
损失函数只需要对抗损失就可以了,反向梯度更新优化量化表。
量化
量化是通过两个操作完成的:舍入和截断。量化表q的目的和∆相同,∆越大,损失信息越多。
采用与量化表近似的表示方法,使用梯度优化量化表。
实验设置
数据集:imagenet中随机选择了2000张正确分类的图像进行评估。
评估方法:使用LPIPS作为对抗图像与原图的感知度量。
防御方法:特征压缩,像素偏转,JPEG压缩,对抗训练。
对比试验:PGD,FGSM,C&W,DeepFool。