CVPR2020 Adversarial Attack & Defense Summary（Part 1）

Alleviation of Gradient Exploding in GANs: Fake Can Be Real

解决问题：GAN的梯度爆炸、模式崩溃问题。

解决方法：在一个mini batch 中 close pairs 多的位置选取假样本，认定其为真样本，再进行训练，来有效防止不平衡分布的产生（FARGAN）。

Cooling-Shrinking Attack: Blinding the Tracker with Imperceptible Noises

解决问题：提出一种以无模型方式攻击单目标跟踪器的有效方法。论文中主要攻击的是基于 SiameseRPN 的跟踪器。

解决方法：由于在相邻两帧中，跟踪器目标通常不会移动太多，所以 SiameseRPN 依赖输入的模板和搜索区域来提取特征返回分类图和回归图。通过干扰分类图或回归图就可以达到攻击目的。

Overall Pipeline 大致是将N个未扰动的搜索区域送入扰动生成器，得到的结果和干净的模板一起送入 SiamRPN++ 跟踪器中，得到扰动后的分类图和回归图，和干净的 heatmap 进行对比，使用 Adversarial cooling-shrinking loss 和 L₂ loss 训练扰动生成器。

Towards Transferable Targeted Attack

解决问题：提出可迁移的有目标攻击方法。解释了有目标攻击可迁移性低的原因所在：噪声固化、没有远离原真实分类。

解决方法：提出使用 Poincaré Ball 空间来取代通常使用的欧几里得标准空间进行距离度量。Poincaré Ball 可以将整个几何图形拟合到半径为1的球中，这意味着具有更好的表示能力。

并且作者将目标分类点设置为 one hot 标签，位于 Poincaré Ball 的边缘，根据性质（图中每条线段长度相等），越靠近边缘梯度越大，这样在多次迭代后，梯度的变化量更大，解决了噪声固化的问题。

论文使用 Triplet Loss 来远离原分类。

Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

解决问题：在保证对抗样本视觉上不易察觉的基础上，是否可以使用 L_p 更大的扰动（扰动更大，对抗效果更好）

解决方法：使用感知色彩距离（Perceptual Color Distance）来限制扰动。提出了两种方法：PerC-C&W、PerC-AL（Perceptual Color distance Alternating Loss）。其中，第二种方法——Perc-AL在优化 classification loss 和 perceptual color difference 时更加高效。实验证明，论文的方法比传统的 Lp 方法具有更好的鲁棒性和可迁移性，并且证明了 PerC 距离能够给现有的顶尖的基于结构的扰动图像方法提供额外的价值。

One Man’s Trash is Another Man’s Treasure:Resisting Adversarial Examples by Adversarial Examples

解决问题：在对抗样本防御问题上，一个常见的方法是模糊、隐藏输入图像的神经网络梯度。但这种思路非常脆弱，面对现在的一些攻击方法准确度甚至为0。

解决方法：在送入一个输入图像到分类模型之前，将其使用外部生成对抗样例的预训练模型进行变形，然后再进行分类。论文对输入图像注入了明显强烈的对抗噪声。

ColorFool: Semantic Adversarial Colorization

解决问题：对于黑盒攻击，有限制的扰动经常有很高的频率，这导致容易被防御手段检测到。而使用无限制扰动生成的对抗样本容易被人眼察觉。

解决方法：本文提出了一种基于内容的黑盒攻击，利用图像的语义性来生成无限制扰动，使得人眼看上去较为自然。

首先，对于要对抗的图像我们使用图像分割，获取其中的敏感区域，本文主要考虑四类敏感区域：人、天空、植被、水。然后将图像分为这些敏感区域 S 和不敏感区域。

然后将图像转到 Lab 色彩空间（ a ranges from green (-128) to red (+127), b ranges from blue (-128) to yellow(+127), and L ranges from black (0) to white (100)）当中。对敏感区域分别尝试不同的扰动（限制较大）：

对不敏感区域的扰动是无限制的：

最后合成。

Polishing Decision-based Adversarial Noise with a Customized Sampling

解决问题：现有的大多数 decision-based 攻击都使用独立于历史查询或当前噪声的恒定采样设置和采样分布，这严重阻碍了 polish noise 的效率。

解决方法：论文指出失败采样也包含着决策边界的位置信息。我们可以定制采样过程，来使得新样本远离大概率失败的方向。为了最小化噪声大小，多元正态分布的方差应该与当前噪声的绝对值线性相关。基于噪声压缩的特性，我们调整了步长定制策略。并且使用 transfer-based attack 来初始化对抗噪声，优于随机生成。
论文提出 Customized Adversarial Boundary（CAB），这是一种基于决策的攻击，根据每个像素的噪声敏感度定制采样分布。
优化目标描述为：

x^* 表示已找到的最小扰动的对抗样本，x’ 表示这一步优化的样本图像，x 为原样本。

Transferable, Controllable, and Inconspicuous Adversarial Attacks on Person Re-identification With Deep Mis-Ranking

解决问题：Person Re-identification （ReID）系统是否继承了DNN的脆弱性？如何攻击ReID？以及提出了增强可迁移性和攻击不可见性的方法。

解决方法：ReID问题与图像分类问题的差别在于ReID的训练集和测试集不共享类别。因此，ReID问题依赖 deep ranking，而攻击ReID系统主要的思路就是 mis-ranking。主要思想是最小化不匹配对的距离，同时最大化匹配对的距离。

整体的架构使用下面的triplet loss 来训练GAN。


为增强可迁移性，论文使用多阶段网络结构聚合不同级别的鉴别器的特征来进行特征学习。（好像就是多尺度融合）

对于不易察觉性，使用限制扰动像素个数和设计 Perception Loss 的方式解决。

Towards Verifying Robustness of Neural Networks Against A Family of Semantic Perturbations

解决问题：现有的神经网络鲁棒性验证主要针对威胁模型的输入的 l_p范数，但是针对引起大的 l_p范数扰动的语义对抗攻击的鲁棒性验证(例如颜色偏移和光照调整)超出了它们的能力。

解决方法：提出 Semantify-NN （包括 SP-Layers 和 Implicit Input Splitting），一个针对不可知模型的神经网络语义扰动的一般鲁棒性验证方法。将提出的SP-layers 插入到任何的输入层，就可以用来验证模型对抗语义扰动的鲁棒性。

阐述了所提出的针对一系列语义攻击的 SP-layers 的设计原则。将RGB色彩空间转换到HSL色彩空间中后，再给出不同操作g，和攻击参数ε^k，来描述平移、遮挡、色彩变换、亮度和对比度变换、旋转等语义攻击方法。这样将原扰动转换之后在对 l_p范数扰动进行鲁棒性验证。
提出了高效的细分方法，Implicit input splitting。