Improving the Transferability of Adversarial Samples with Adversarial Transformations(算法:ATTA,CVPR2021)
1、摘要
提出一种对抗变换网络,对数据增强进行模拟,并得到对对抗样本影响最大的变换,最后优化时消除这种影响,提高对抗样本的鲁棒性,也就是提高对抗样本的迁移性。
之前大部分论文中基于数据增强来提升对抗样本的迁移性都是针对单张图片的单种变换,如裁剪、缩放、亮度、对比度等等。总体来说这些变换没有什么交集,如果使用缩放变换增强的对抗样本迁移性,很可能会被其他变换所抵消(也就是在使用某张图片前,进行预处理,可以消除一些对抗样本的影响)。本文思想主要想找出对于单张图片来说最强的变换,然后克服最强变换,那个最强的变换都克服了,弱变换也不在话下。从而提高了对抗样本的迁移性。(这里我理解的是每张图片都会因为纹理、像素的不同,所以对应与对它干扰最大的变换也不同)
2、方法论
作者在生成对抗样本生成模型之前添加一个对抗变换网络CNN,这个CNN主要功能是抑制对抗样本的攻击,训练干净样本使得生成的对抗样本能够抵御防御中最强数据变换后,依然保留对抗样本的攻击性。
该论文的方法分为两步,第一步是通过训练找到一个最强的数据变换方式,使得它能够最大程度的抑制对抗样本的攻击性(过程非常类似对抗训练);第二步是在得到最强数据变换函数后,训练生成对抗样本。
2.1对抗变换网络损失
2.2生成对抗样本的损失
2.3模型的合并
训练的对抗变换网络和待攻击的目标网络合二为一为一个整体,作为一个新的模型去攻击。
3、实验结果
迁移性实验结果:
面对传统防御时的表现:
与其他攻击方法融合的效果:
4、总结
思想很新颖,先对图片进行数据增强,而且是寻找最强的图片变换,再生成对抗样本。并且整个过程和对抗训练很像,两者的区别在于训练对抗变换网络时网络参数只有一个,格外引入的 ;而对抗训练则是训练整个网络参数。
5231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
