Towards Transferable Targeted Attack 论文笔记

最新推荐文章于 2023-04-19 21:27:03 发布
最新推荐文章于 2023-04-19 21:27:03 发布
阅读量784 收藏 4
点赞数 1
分类专栏: 论文笔记 文章标签: 深度学习 计算机视觉 人工智能 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sydukee/article/details/110822003
版权
论文探讨了有目标对抗攻击的噪声固化问题,指出其导致的可迁移性降低。通过引入Poincaré距离作为相似度度量,缓解噪声固化,并结合Triplet Loss使对抗样本远离原始分类,提升攻击的可迁移性。实验结果验证了这种方法的有效性。
摘要由CSDN通过智能技术生成

00 Abstract

作者指出,对抗样本的一个内在属性就是它的可迁移性。而对于无目标攻击,有目标攻击生成可迁移样本更加困难。主要原因有二:

  • 噪声固化现象:在迭代攻击过程中,由于所添加的噪声是每次迭代中梯度动量的累积,这导致成功的扰动在迭代的过程中相似度很高,因此噪声的多样性和可适应性缺乏,导致可迁移性低。
  • 仅仅让对抗样本靠近目标分类,而没有远离原真实分类是不够的。

为克服这两个问题,论文提出引用 Poincaré distance 作为相似度度量,使得梯度的大小在迭代攻击过程中自适应,以减轻噪声固化现象。并且论文在迭代攻击过程中远离真实标签,来获得更好的迁移性。

01 Introduction

论文主要贡献如下:

  • 与简单的扩展无目标攻击相比,论文发现并提出有目标攻击与无目标攻击不同的特殊属性。这使得我们得到一个可以提高有目标攻击的表现的新方法。
  • 正式的提出有目标攻击的噪声固化问题。第一次引入 Poincaré space 作为度量空间,代替softmax cross entropy 来解决噪声固化问题。
  • 论文还指出,可以利用真实标签信息作为附加,使用triplet loss,来帮助对抗样例远离原分类。

02 Background

Adversarial Attack

本论文的基础模型为 momentum iterative FGSM,它整合了动量项到攻击的迭代过程中来确保噪声添加的方向更加平滑。

其他 transferable targeted adversarial examples:最大化目标分类的probability。
在这里插入图片描述
但仍缺少针对黑盒模型的可迁移的、有效的、有目标攻击。

Poincaré Ball

参考博客:https://zhuanlan.zhihu.com/p/68104722

Poincaré Ball 的示意图如下:
在这里插入图片描述
在 Poincaré Ball 示意图中,每个点之间的距离是相等的,也就是说,当弧线接近圆周时,它就接近平面的“无穷远”,这意味着当你向球的 surface 移动时,则距离呈指数增长。

该论文中,使用 Poincaré Ball 这个空间来代替欧几里得标准空间。相比较而言,Poincaré Ball 可以将整个几何图形拟合到半径一个单位的球中,这意味着它比欧几里得表示方法有更好的表示能力。

Poincaré Ball 的所有点都集中在一个n维的 l2 单元球中,其上两点 u、v 之间的距离可以表示为:
在这里插入图片描述
其中,u 和 v 是两个 n维欧几里得空间内 l2范数小于 1 的点。δ(u,v)可以定义为:
在这里插入图片描述
在这里插入图片描述
这个公式意味着,当 ||u||2 或 ||v||2 趋近于 1 时,距离会变得无限大,即该点趋近于球面边缘。

Methodology

Motivation

有目标攻击和无目标攻击有两个关键的不同之处:

  1. 有目标攻击需要找到目标类别对抗样本的(局部)最小值
  2. 无目标攻击只需避免被 poor local maxima 捕获,并逃离决策边界即可。

噪声固化现象对于无目标攻击是一个好的属性,因为它能够帮助逃离决策边界。但对于有目标攻击来讲,当求解(局部)最小值时,固化的噪声并不能有效的取到最小,所以会导致有目标攻击表现不佳。甚至如果输出的目标分类可能性接近1,会导致softmax的饱和,当input变化很大时,梯度只变化一点。这会导致最后的迭代过程中错误不断累积。

Targeted Attack with Poincaré Distance Metric

标记 y 为 one hot encoded 标签。由于 ||y||2=1,所以 y 点位于 Poincaré ball 的边缘。任何点与 y 点的距离都为 ∞ 。接下来我们将要减少这个距离。

使用 Poincaré Distance 作为测量仍存在一个严重的问题,对于样本点 x 的分类结果 l(x) 我们要满足他的二范数小于1(根据距离定义),因此我们使用它的 l1 范数进行标准化。对于目标标签 y,由于它接近无穷,故减去一个 ξ = 0.0001 方便计算。因此最后的 Poincaré Distance Metric loss 为:
在这里插入图片描述
其中,l(x) 为多种模型的权重整合,K为整合的模型数:
在这里插入图片描述

在这里插入图片描述
使用 Poincaré metric 之后,梯度大小只有在靠近目标分类的时候才会上升。这代表梯度是自适应的,使得噪声的方向更加灵活。

Triplet Loss for Targeted Attack

使用 Triplet Loss 来使得对抗样本远离原分类。
在这里插入图片描述
由于 l(xadv) 没有标准化,所以我们使用角距离来作为距离测量:
在这里插入图片描述
最后我们总体的 loss 函数为:
在这里插入图片描述
在这里插入图片描述

Experiments

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
上图证明了,poincare metric 相比较 cross entropy 较好的解决了噪声固化问题,在高迭代次数时仍保持了较高的梯度。

本文仅为个人论文笔记,若理解有误,敬请指出!多谢!

Matthew Lou
关注
专栏目录
提高对抗性迁移能力,通过基于神经元归属的攻击方法(CVPR 2022)
我爱计算机视觉
05-12 608
关注公众号,发现CV技术之美本篇文章分享CVPR 2022 论文『Improving Adversarial Transferability via Neuron Attribution-Based Attacks』,通过基于神经元归属的攻击提高对抗性迁移能力。详细信息如下:论文链接:https://arxiv.org/abs/2204.00008项目链接:https:...
《RefineMask:Towards High-Quality Instance Segmentation with Fine-Grained Features》论文笔记
m_buddy的博客
11-13 2721
参考代码:RefineMask 1. 概述 导读:在这篇文章中针对以Mask-RCNN为代表的实例分割模型存在实例分割mask掩膜边界补贴合的问题进行探究,文章指出由于网络存在下采样操作以及RoI Pooling的操作使得进行mask预测的特征图丢失了很多细节信息,进而导致了实例分割结果边界较差的问题。对此文章从如下几个方面对实例分割头部分进行改进: 1)直接使用FPN网络特征图输出的P2P2P2特征图添加几个卷积之后进行语义分割,从而辅助实例分割部分; 2)采用级联优化的形式,逐渐增加mask预测的分辨
论文阅读笔记——Towards Transferable Adversarial Attack Against Deep Face Recognition
weixin_42185553的博客
08-08 959
论文阅读笔记——Towards Transferable Adversarial Attack Against Deep Face Recognition一.解决的问题二.创新点三.具体实现过程四.实验结果五.存在的问题 Against Deep Face Recognition) 一.解决的问题 提出了一种针对黑盒的人脸识别系统攻击方法,该方法首先构造一个针对代理模型的对抗样本,由于同一任务的对抗样本具有泛化的能力,因此针对代理模型生成的对抗样本对其它黑盒模型也具有攻击能力。 二.创新点 通过dropou
论文笔记】DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
kaguya1004的博客
12-15 827
【摘要】 深层神经网络的一个有趣的特性是存在对抗性样本,它可以在不同的体系结构之间进行转换。这些可转移的通用示例可能严重阻碍基于神经网络的深层次应用。以往的工作主要是利用小规模数据集来研究可移植性。在这项工作中,我们首先对大模型和大规模数据集的可转移性进行了广泛的研究,而且我们也是第一个研究目标敌方示例及其目标标签的可转移性的。我们研究了非针对性和针对性的对抗性例子,并表明虽然可转移的非目标性对抗性示例很容易找到,但是使用现有方法生成的有针对性的对抗性示例几乎不会随目标标签一起转移。因此,我们提出了新的基于
论文阅读】CVPR2022 ||Improving the Transferability of Targeted Adversarial Examples throughObject-Based
qq_45822394的博客
04-19 265
对抗样本的可迁移性允许对黑盒模型进行欺骗,基于迁移的target攻击由于其实际适用性而引起了很多兴趣。为了最大化迁移成功率,对抗样本应避免过拟合源模型,而图像增强是实现此目的的主要方法之一。然而,先前的工作使用简单的图像转换,例如调整大小,这限制了输入的多样性。为了解决这个限制,我们提出了基于对象的多样化输入(ODI)方法,该方法在 3D 对象上绘制对抗图像,并将渲染图像归类为目标类。我们的动机来自于人类对打印在 3D 物体上的图像的卓越感知。如果图像足够清晰,人类可以在各种观看条件下识别图像内容。
对抗攻击(1)
爱学习爱运动的专栏
12-19 693
本文是根据李宏毅老师在B站上的视频整理而来,视频地址为: https://www.bilibili.com/video/BV1n3411y7xD?p=65 1 无目标和有目标攻击的区别 无目标攻击:攻击后的标签不确定,只要是和原始标签差别越大越好。 有目标攻击:攻击后的标签是确定的某一个类别,并且要求和原始标签越大越好。 ...
Poincaré圆盘模型:一个神奇的双曲世界
matrix67的专栏
10-27 4928
    今年恰逢PKU数学文化节十周年,其间开办的很多讲座我都去了。去听讲座的人好像都是数院的,我恐怕是唯一一个中文系的。考虑到我和中文系的MM没有共同话题,因此每一次听讲座时我都会顺便四处打望,看看有没有数院的美女,下来可以和她“交谈”一下。有趣的是我的做法与常人所想的恰好相反:据说数院的已经盯上中文系的MM了,而我一个中文系的竟然反过来去找数院的MM。    昨天有一个关于非欧几
《MonoIndoor:Towards Good Practice of Self-Supervised Monocular Depth Estimation...》论文笔记
m_buddy的博客
03-22 4576
参考代码:None 1. 概述 介绍:经典的自监督深度估计方法已经在KITTI数据集上取得了较为不错的效果,但是在一些室内或是相机能够自由移动(KITTI场景下相机固定在车上)的场景下,现有的经典自监督深度估计算法就出现了问题。这篇文章研究的便是这些场景下的自监督深度估计,在该文章中指出自监督深度估计在这些场景下性能出现较大幅度下降是因为如下两点原因: 在这些场景下深度的范围是变化比较大的,特别是在一些室内场景下,随着视角的变化图像中深度的范围会存在较大范围变化。而在KITTI的场景下最远处是天空其深度
Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack
02-08
Towards a SDN-Based Integrated Architecture for Mitigating IP Spoofing Attack
Adversarial reprogramming
????????️的博客
05-22 1025
一、简介 1、什么是对抗样本? 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2、对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗性攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗性攻击主
对抗攻击(Adversarial Attack
ji_meng的博客
04-22 1万+
对抗攻击
python实现推荐系统资源梳理
Python技术博文
12-04 508
Recommendation system推荐系统接下来一段时间主要更文推荐系统相关算法什么是推荐系统维基定义:推荐系统是一种信息过滤系统,用于预测用户对物品的“评分”或“偏好”。正常理...
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
热门推荐
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)
Invokar的博客
07-28 2481
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(2019 CVPR Oral) 文章简介: 本文的方法既可以untargeted attack,也可以targeted attack。 提出一种translation-invariant攻击方法,被攻击的白盒模型的识别区域不...
论文解读 AAAI 2019 | HHNE】Hyperbolic Heterogeneous Information Network Embedding
byn12345的博客
03-10 2895
论文链接:https://www.aaai.org/ojs/index.php/AAAI/article/view/4471/4349 代码链接:https://github.com/ydzhang-stormstout/HHNE 会议:AAAI 2019 文章目录1 摘要2 介绍2.1 现有的方法2.2 动机2.3 双曲空间2.4 作者提出2.5 贡献3 Embedding HIN in H...
1.对抗攻击概念介绍
weixin_33827731的博客
03-28 1464
对抗攻击概念:   通过对输入添加微小的扰动使得分类器分类错误,一般对用于深度学习的网络的攻击算法最为常见,应用场景包括目前大热的CV和NLP方向,例如,通过对图片添加精心准备的扰动噪声使得分类器分错,或者通过对一个句子中的某些词进行同义词替换使得情感分类错误。 对抗攻击分类:   关于攻击的分类有很多种,从攻击环境来说,可以分为黑盒攻击,白盒攻击或者灰盒攻击:   黑盒攻击:攻击者对...
[论文阅读笔记] Boosting Adversarial Attacks with Momentum
Invokar的博客
07-21 3917
Boosting Adversarial Attacks with Momentum(CVPR2018) Source Code: https://github.com/dongyp13/Non-Targeted-Adversarial-Attacks https://github.com/dongyp13/Targeted-Adversarial-Attacks. 文章概述: 本文提出了一种基...
turtle towards
最新发布
09-11
Turtle中的towards方法用于返回一个角度,表示海龟当前位置指向目标位置的方向。该方法接受两个参数,目标位置的x坐标和y坐标。它会计算出当前位置指向目标位置的角度,并返回该角度值。该角度是相对于海龟当前朝向的角度,以顺时针方向为正方向。 例如,如果我们想要获取海龟当前位置指向坐标点(100, 200)的角度,我们可以使用以下代码: angle = turtle.towards(100, 200) 这将返回一个角度值,表示当前位置指向目标位置的方向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值