DiffAttack:一种专门针对diffusion净化噪声的自适应攻击方法

已于 2024-03-03 21:33:31 修改
阅读量1.9k 收藏 26
点赞数 23
文章标签: 网络攻击模型 人工智能 神经网络
于 2024-03-02 11:36:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/v1716836592/article/details/136180641
版权

1.摘要,介绍,相关工作

论文:DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial Purification

代码:GitHub - kangmintong/DiffAttack

基于笔记:[论文总结] DiffAttack: Evasion Attacks Against Diffusion-Based Adversarial Purification - 知乎 (zhihu.com)

1.1 解决的问题

由于深度神经网络 (DNN) 容易受到对抗扰动动的影响,因此提高神经网络针对此类精心设计的扰动的鲁棒性变得非常重要,特别是在安全关键型应用中。 近年来,人们提出了许多防御措施,但它们再次受到更高级的自适应攻击的攻击。

最近的一种防御方法(diffusion-based purification,基于扩散的净化)利用扩散模型来净化输入图像并实现最先进的鲁棒性。根据防御使用的扩散模型的类型,基于扩散的净化可以分为基于分数的净化(使用基于分数的扩散模型)和基于DDPM的净化(去噪扩散概率模型(DDPM)).基于扩散的净化防御利用扩散模型首先用高斯噪声扩散对抗样本,然后进行采样以消除噪声。通过这种方式,由于扩散模型的训练分布是干净的,因此希望也可以消除精心设计的对抗扰动。

这篇论文提出了一种名为DiffAttack的攻击技术,旨在对抗基于扩散模型的净化防御方法。这些防御方法利用扩散模型来移除对抗样本中的精心设计的扰动,以实现最先进的鲁棒性。然而,攻击这些防御方法面临着梯度消失/爆炸、高内存成本和噪声随机性等挑战。DiffAttack通过在中间扩散步骤中引入偏差重构损失(deviated-reconstruction loss)来解决梯度问题,并提出了一种分段前向-后向算法(segment-wise forwarding-backwarding algorithm)以实现内存高效的梯度反向传播。

1.2论文的主要贡献

  1. 提出了DiffAttack,这是一种针对基于扩散的对抗样本净化防御的有效逃避攻击技术,包括基于分数的净化和基于DDPM的净化。
  2. 提出了偏差重构损失来解决梯度消失/爆炸的问题,并理论上分析了其与数据密度估计的联系。
  3. 提出了分段前向-后向算法来解决高内存成本的挑战,并首次对基于DDPM的净化防御进行了自适应攻击,这是由于高内存成本而难以攻击的。
  4. 在CIFAR-10和ImageNet上实证展示了DiffAttack相较于现有攻击方法在性能上的显著提升,特别是在大扰动半径下。
  5. 通过一系列消融研究,发现在均匀采样的时间步骤上添加偏差重构损失比仅在初始/最终步骤上添加更有效,以及适度的扩散长度有助于提高模型的鲁棒性。

1.3 论文前置知识

AutoAttack(APGD):Auto Attack&APGD:一种评估模型鲁棒性的弱参数攻击方法_autoattack csdn-CSDN博客

diffpure:guided diffu-sion model for purification&&DiffPure:基于diffusion净化对抗样本的防御方法_diffusion models for adversarial purification-CSDN博客

DDPM

2. 核心方法

2.1 Deviated-reconstruction loss

本质上,偏差重建损失在某些时间步将重建样本推离扩散样本(代码的实现是400个时间步每隔10个时间步选一个添加偏差重建损失)。 它被添加在多个中间时间步骤以缓解diffusion长采样导致的梯度消失/爆炸,噪声随机性的问题。 本文还从理论上分析了它与分数匹配损失之间的联系,并证明最大化偏差重建损失会导致扩散模型对数据分布的密度梯度的不准确估计,从而导致更高的攻击机会。

α(·)为随时间变化的权重系数,xt是第t步添加完噪声后的噪声图,x't是反向过程中相应的采样图像,d(xt, x 't)为这两张图之间的距离,代码中d的实现为mse均方损失

最大化等式8中的偏差重建损失会导致数据密度估计不准确,从而导致采样分布与干净训练分布之间的差异

2.2 Segment-wise forwarding-backwarding algorithm

测试防御方法的自适应攻击需要计算损失函数对原始样本x0的梯度,所以针对扩散净化的自适应攻击需要沿着前向传播的反方向(加噪去噪的反方向)进行反向传播,扩散长度(即总扩散时间步长)通常很大,并且在每个时间步长,深度神经网络用于估计数据分布的梯度。如果对损失函数直接调用backward这导致了一个非常深的计算图,消耗大量内存.为了克服内存消耗大的问题,本文提出了一种分段前向-后向算法,该算法基于用完就扔的思想.

设前向传播中,加噪过程产生的图片分别是x0,x1,x2.....x399,去噪过程产生的图片分别是x'399,.....

x'1....x'0,并且我们设置,,当我们要求L对x't+1的梯度时,可以使用下面的等式

也就是说我们只需要存储L对x't的梯度,fr,x't+1就能够求出求出L对x't+1的梯度,到下一步计算L对x't+2的梯度时,L对x't的梯度和x't+1均可舍弃,即t+2时刻梯度的计算只需要t+1时刻计算图存储的梯度,存储t时刻梯度的计算图此时就可以舍弃,从而使得在整个反向传播求梯度的过程中,我们只需要存储一个梯度的计算图,从而节省了内存成本.忽略存储样本引起的内存成本(与计算图相比较小),DiffAttack实现了 O(1) 内存成本。

个人解读(不一定正确):整个从x0到x'0的加噪去噪过程如果让pytorch直接跟踪梯度,会产生庞大的计算图(因为x1,x2....x399 x'399 x'398....x'1 x'0等都会算进去),所以进行diffpure操作和把x'0放进分类器得到损失的整个过程都不能用进行梯度跟踪,但把x'0放进去分类器中求得的损失L此时和x0没有关系,没办法直接求L对x0的梯度,只能新开梯度跟中,x'1采样得到新x'0,然后新x'0对x'1求导得到L对x'1的导数(不能够直接使用iffpure过程的x'0,因为这个x'0的生成没有梯度跟踪),然后一直往回走到x0,才求得L对x0的导数

2.3 针对diffpure的自适应攻击diffAttack

最低0.47元/天 解锁文章
SVDiff: Compact Parameter Space for Diffusion Fine-Tuning——【论文笔记】
qq_45791526的博客
02-03 2007
SVDiff: Compact Parameter Space for Diffusion Fine-Tuning——【论文笔记】
CV-扩散模型经典论文解读|MMA-Diffusion: MultiModal Attack on Diffusion ModelsMMA-扩散:针对扩散模型的多模态攻击
最新发布
paixiaoxin的博客
01-08 469
本文介绍了MMA-Diffusion框架,这是一种针对文本到图像扩散模型的多模态攻击方法。该框架能够有效地绕过当前的防御措施,如提示过滤器和后处理安全检查器,生成具有潜在不当内容的图像。MMA-Diffusion通过同时利用文本和视觉模态的攻击策略,揭示了现有防御机制的漏洞,并强调了在文本到图像技术中加强安全措施的必要性。
【论文阅读】Diffusion Models for Imperceptible and Transferable Adversarial Attack
qq_45822394的博客
05-20 2899
许多现有的对抗攻击在图像RGB空间上产生Lp范数扰动。尽管在可迁移性和攻击成功率方面取得了一些成就,但精心制作的对抗样本很容易被人眼感知。对于视觉的不可感知性,最近的一些研究探索了不受Lp范数约束的无限制攻击,但缺乏攻击黑盒模型的可迁移性。在这项工作中,我们通过利用扩散模型的生成和判别能力,提出了一种新的难以察觉和可迁移的攻击
【新论文】【模型攻击DiffAttack 针对基于扩散的对抗性净化的逃避攻击
prinTao的博客
12-02 636
作者: Mintong Kang;Dawn Song;Bo Li链接: http://arxiv.org/pdf/2311.16124v1备注: Accepted to NeurIPS 2023摘要:基于扩散的净化防御利用扩散模型去除对抗样本的精心设计的扰动,从而实现最先进的鲁棒性。最近的研究显示,即使是高级的攻击也无法有效地破坏这种防御,因为净化过程会导致计算图极其深层,这带来了梯度混淆、高内存成本和不受限的随机性的潜在问题。
【论文精读】DiffAttack:难以察觉和可转移的对抗性攻击的扩散模型
weixin_47748259的博客
04-24 2732
xt​。
TPAMI 2024-DiffAttackDiffusion Models for Imperceptible and TransferableAdversarial Attack
weixin_49090702的博客
11-17 1244
本文提出的DiffAttack方法通过利用扩散模型的生成和判别能力,成功生成了既不可感知又具有高度转移性的对抗性样本。广泛的实验结果表明,DiffAttack在各类模型、防御方法和数据集上均表现出色,显著优于现有的对抗性攻击方法。本文的研究为对抗性攻击领域提供了新的思路和工具,并为未来的研究方向指明了方向。
探索未知,守护安全:Diffusion Models for Adversarial Purification
gitblog_00031的博客
06-10 582
探索未知,守护安全:Diffusion Models for Adversarial Purification 去发现同类优质开源项目:https://gitcode.com/ 在数字世界的边缘,对抗性攻击威胁着深度学习模型的安全。为了解决这个问题,一个由顶级研究者组成的团队提出了一种创新的解决方案——Diffusion Models for Adversarial Purification(Di...
大气数值模拟理论与方法课件:lec10_Numerical diffusion.pdf
09-21
【大气数值模拟理论与方法】课程中的第10讲主要探讨了数值扩散(Numerical Diffusion)的概念及其在大气科学中的应用。数值扩散是微观尺度上的输运过程在宏观尺度上的宏观解释,常被称为衰减过程,具有筛选特定尺度...
DYffusion阅读笔记 “DYffusion: A Dynamics-informed Diffusion Model for Spatiotemporal Forecasting“
m0_55333280的博客
09-10 1592
动态预测是指预测动态系统未来行为的任务,设计学习控制系统演化的潜在动态,以对其未来状态做出准确的预测。高斯diffusion在正向过程中使用高斯噪声不同程度地破坏数据,然后通过反向过程对随机输入进行去噪以得到高度真实的样本。然而,在高维度上将噪声映射到真实数据十分具有挑战性,因此扩散模型的计算成本非常高。而且,扩散模型多用于静态图像,即使是能生成真实样本的video diffusion model也没有明确利用数据的时间性质来生成准确的预测。
guided diffu-sion model for purification&&DiffPure:基于diffusion净化对抗样本的防御方法
v1716836592的博客
01-25 3041
guided diffu-sion model for purification 论文和Diffusion Models for Adversarial Purification两篇论文的原理笔记以及代码实现笔记
SPN.rar_SPN_spn加密算法_spn算法_substitution box_逆S盒
09-22
spn算法加密和解密,substitution(代换),生成S或P逆盒
自动攻击:相对于“可靠地评估对抗性鲁棒性和各种无参数攻击的集合”的代码
02-26
自动攻击 “可靠的评估对抗性鲁棒性与各种无参数攻击相结合” 弗朗切斯科·克鲁斯( Francesco Croce)和马蒂亚斯·海因( Matthias Hein) ICML 2020 我们建议使用四种不同攻击的组合来可靠地评估鲁棒性: APGD-CE ,这是我们在交叉熵方面的新的无步长PGD版本, APGD-DLR ,我们在新的DLR损失上推出的新的无步长PGD PGD版本, FAB ,将对抗性扰动的规范降到最低 , Square Attack ,一种查询效率高的黑盒攻击 。 注意:我们修复了攻击的所有超参数,因此不需要调整就可以测试每个新的分类器。 消息 [2020年10月] AutoAttack在新的基准测试用作标准评估,该基准包含最强大分类器的! 请注意,此页面和RobustBench的排行榜是同时维护的。 [2020年8月] 更新的版本:为了i)将AutoAtta
扩散模型Diffusion models as plug-and-play priors作为即插即用先验的扩散模型
ssshyeong的博客
12-06 4191
我们考虑在一个由先验p(x)和辅助可微约束c(x,y)组成的模型中推断高维数据的问题。在本文中,先验是一个独立训练的去噪扩散生成模型。辅助约束预计具有可微形式,但可以来自不同的来源。这种推断的可能性将扩散模型转化为即插即用模型,从而允许在适应模型的领域和任务(如条件生成或图像分割)方面的一系列潜在应用。
FGSM、PGD、BIM对抗攻击算法实现
追风赶月莫停留,平芜尽处是春山
12-16 5188
​PGD、BIM对抗攻击算法实现可以直接导入这个torchattacks这个库,这个库中有很多常用的对抗攻击的算法。 pip install torchattacks 然后添加相关代码,即可直接调用
精度1Robust High Accuracy Visual-Inertial-Laser SLAM System
qq_38983484的博客
03-21 370
参考大佬讲解 配合自己弱点一种视觉惯性+激光传感器的SLAM系统 论文基本信息 题目:Robust High Accuracy Visual-Inertial-Laser SLAM System 期刊:2019年的 IROS 会议 方向:多传感器融合技术(激光-惯导-视觉) 摘要 IMU-视觉SLAM缺点:IMU通过减少照明变化或无纹理区域对视觉跟踪的影响显着提高了运动估计性能,如果机器长期工作在光照变化明显、纹理缺失的环境中,系统仍会跟踪丢失(因为IMU的偏差是随机变化的,长时间不修正会直接影响位姿估
PaddlePaddle实现线性回归
orchidofocean的博客
11-04 1281
在本次我们将使用PaddlePaddle来搭建一个简单的线性回归模型,并利用这一模型预测你的储蓄(在某地区)可以购买多大面积的房子。并且在学习模型搭建的过程中,了解到机器学习的若干重要概念,掌握一个机器学习预测的基本流程。 线性回归的基本概念 线性回归是机器学习中最简单也是最重要的模型之一,其模型建立遵循此流程:获取数据、数据预处理、训练模型、应用模型。 回归模型可以理解为:存在一个点集,用...
生成式AI扩散模型-Diffusion Model【李宏毅2023】概念讲解、原理剖析笔记
qq_53826699的博客
08-28 2874
Diffusion和DALL采用的Decoder是Latent Representation,之前在讲Diffussion Model的时候,nosie是加到图片上面的,而现在我们的Framework里面扩散模型产生的是中间产物,他可能不是图片了,所以我们在diffusion process这一部分,为什么不直接生成一个带噪音的猫?通过一步步的加噪声,得到最终的噪音图,而每一步的step x 就代表在训练过程的第二个输入,每一步得到的加了噪音的图,就是训练过程的第一个输入(相当于反向过来看)
人工智能顶会ICLR2023《Revisiting adapters with adversarial training》论文解读
red_guy的博客
12-03 1871
总结本研究提供了对适配器与对抗性训练结合使用的新见解,特别是在Vision Transformer (ViT) 模型中实现了显著的性能提升。实验结果显示,即使是非常少量的双参数适配器也足以适应干净和对抗性图像,这表明我们不必分离正则化层就能复制AdvProp的效果。通过使用两个分类标记作为适配器,增加了768个额外参数,实现了在ImageNet上83.56%的干净准确率,以及在鲁棒模式下49.87%的鲁棒准确率,这表明这种方法是在提升模型性能的同时增强其抵抗对抗性攻击的有效策略。权重的共同训练损失。
Stetman 读paper小记:How to Backdoor Diffusion Models?
Stetman的博客
06-28 887
由于课题组研究需要,了解了一下当前比较火爆的扩散模型Diffusion Model),其中读到的这篇论文与正在学习的后门领域比较相关,特此记录一下当时思考的一些问题。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值