第六篇Improving Transferability of Adversarial Examples with Input Diversity(通过输入多样性提高对抗样本的迁移性)
1、摘要
cnn在视觉领域已经取得了非常好的效果,但在对抗样本面前依然非常脆弱,尤其是面对黑盒模型时,攻击率更低。本文介绍通过输入多样性来提高对抗样本的迁移性,从而产生对于白盒攻击和黑盒攻击都高的对抗样本。此论文和MI—FGSM解决的是同一个问题,只是解决方法不同。那么为什么对抗样本经过图形变换后就能提高迁移性呢?
文中提出:
- 现有的方法是单步攻击(FGSM)和迭代攻击(I-FGSM):单步攻击在白盒攻击中表现一般,面对黑盒模型是效果也不错,表现出较强的迁移性。迭代攻击在白盒攻击中表现好,但到了黑盒模型中时效果较差,迁移性弱。这其实就是两种现有的方法容易过拟合和陷入局部最优。
- 受数据增强的启发,本文通过创建diverse input patterns产生对抗样本,以此提高对抗样本的迁移能力。
- 针对I-FGSM和MI-FGSM进行改进并取得了很好的效果。
对抗样本产生方法的了解:
- 传统的机器学习算法存在脆弱性
- Szegedy在2014年提出CNNs在面对对抗样本是的脆弱性,提出L-BFGS算法
- Goodfellow在2015年提出一步梯度FGSM算法
- 随后,Kurakin在FGSM方法进行改进,提出I-FGSM算法
- Dong在2017年提出基于动量的迭代方法产生对抗样本,提高了对黑盒攻击的成功率,提高了迁移性。
对抗样本的防御方法的了解:
- Goodfellow在17年提出对抗训练的思路增加网络的鲁棒性
- Tram’er同年提出集成训练的思路
- 本文使用随机图像变换增强了网络的鲁棒性
- prakash提出一种基于小波去噪的像素偏移防御对抗样本的框架
2、解决方法Diverse Input Patterns(多样的输入模式)
:
:
这两种算法都是在进行迭代时以p的概率对输入进行图像变换T(),图像变换主要包括随机改变大小和随机填充。看图中公式也知道只对每次输入对抗样本进行一个p概率的变换。
文中还提到各方法之间的联系,如下图:
进行实验后发现,本文提及的两种算法在白盒攻击和黑盒攻击上的成功率都有了明显提升,无论该模型是否经过了对抗训练。并且为了证明泛化,还将输入多样性的方法运用到C&W中,发现D-C&W在黑盒攻击时的表现有明显提升。以下是实验结果:
3、结论
文中对于为什么输入多样性能够提高对抗样本的迁移性做出了一种假设,由于相同的训练数据集,不同网络的决策边界共享内在的决策边界。得到这一假设的原因是不同网络做出了类似的错误判断。在每次迭代过程中对对抗样本进行优化实际上也是提高了健壮性,增加了欺骗其他网络的可能性,所以黑盒攻击的成功率会更高。