Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(TI-FGSM,CVPR2019)
1、摘要
在本文中,我们提出了一种平移不变攻击方法,以产生更多可转移的对抗样本对抗防御模型。通过优化平移图像的整体摄动,生成的对抗示例对被攻击的白盒模型不那么敏感,并且具有更好的可移植性。为了进一步提高攻击的效率,本文证明了我们的方法可以通过将未翻译图像的梯度与预定义的核进行卷积来实现。我们的方法一般适用于任何基于梯度的攻击方法。(将梯度进行卷积处理)
2、方法论
正常训练的模型具有相似的注意力图,而防御的方法诱导下有不同的注意力图。
这忠防御现象是由在不同数据分布下的训练或在分类之前转换输入引起的。对于基于可迁移性的黑盒攻击,通常针对白盒模型为单个输入生成对抗样本。因此生成的对抗样本与给定输入点的白盒模型的判别区域或梯度高度相关,使得很难转移到其他依赖不同区域进行预测的防御模型。因此,对抗样本的可迁移性在很大程度上被防御所减少。
为了减轻模型间不同识别区域带来的影响,提出转移不变攻击(translation-invariant attack)方法。对一个包含图像和其转移图像的集合生成对抗样本,希望该对抗样本对于被攻击的白盒模型的识别区域不敏感,比较容易欺骗另一个黑盒模型。要生成这样的样本需要计算集合中所有图像的梯度,这需要很大的计算量。为了提高效率,该文献提出一种通过对未转移的图像做卷积梯度的方法,其中卷积核是预定的。将该方法与任意基于梯度的攻击结合,以同样的计算复杂度得到了大量转移性对抗样本。期望得到的对抗样本对被攻击的白盒模型的判别区域不太明白,并且有更高的概率欺骗另一个具有防御机制的黑盒模型。
然而,为了产生这样的扰动,需要计算集合中所有图像的梯度,这带来了更多的计算。为了提高攻击的效率,作者证明可以通过在一定假设下用预定义的内核对未平移图像的梯度进行卷积来实现。
作者将TI-FGSM描述为上式, 代表平移操作,意味着将
在2个维度上各自平移
和
个像素,比如
,在平移后就是
。
代表对不同loss
的权重。其中,
。之所以用平移是因为可以加速。
CNN一般认为具有平移不变性(translation-invariant property),即一个目标在不同位置都能被识别,但在实践中,CNN并不具备真正的平移不变性。假定平移不变性是在一个很小的平移内成立的,比如 ,则可以推出:
这种核矩阵 w 可以预先设定,其原则上是,图像位移越大,其权重越小。本文考虑了三种核:
正态分布核、线性核、高斯核,其中高斯核的效果最佳。
于是结合FGSM和BIM后得到新的TI-FGSM和TI-BIM,公式如下:
3、实验结果
4、总结
使用各种变换来增强对抗样本的迁移性之前就有很多文章,像DI-FGSM,还有之前的旋转、放大缩小等,而本文章最妙的地方只用了平移(当然是从注意力机制切入)效果就不错了,如果和之前的一些结合起来效果会不会更好?
3208
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
