论文学习:Local Black-Box Adversarial Attacks:A Query Efficient Approach

已于 2022-08-04 22:31:07 修改
阅读量804 收藏 4
点赞数 1
文章标签: 人工智能 计算机视觉 深度学习 生成对抗网络 python
于 2022-08-04 22:28:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42570231/article/details/125921138
版权

目录

背景介绍

在这里插入图片描述

对抗攻击就是在一张原始图片上添加一定的扰动,就可以骗过分类器获得错误的分类结果,比如上述图片里本来是一个百吉饼,加上扰动之后,分类结果就变成了一架钢琴。

根据可以获得信息的多少可以分为白盒攻击黑盒攻击。白盒攻击可以访问模型的参数信息,而黑河攻击中可以访问的参数信息有限或者完全不能访问参数信息,目前受到较多关注的是黑盒攻击。目前对抗攻击主要分为三类(如图),在这三种对抗攻击中,第一种属于白盒攻击,我们不做过多的介绍,第二种和第三种属于黑盒攻击。基于分数的对抗攻击中,攻击者可以获得攻击结果也就是模型的判定类别,还可以获得一个分数。在决策攻击中,攻击者无法获得最终的分数,只能获得最终的分类结果。在黑盒攻击中,对抗样本的好坏由查询次数决定。本文就是研究怎么用较少的查询次数获得较好的对抗样本。

目前为止大多数对抗攻击都是对原始样本进行全局扰动,但是并不是所有像素对分类结果的影响都是平等的,比如图片中的这个例子,对于ResNet50这个模型来说,把图中这个西伯利亚哈士奇正确识别出来的概率为51.82,当把背景去除后,识别成功的概率为66.04,而如果只识别背景部分成功的概率只有0.26,因此图像的背景不应该影响分类结果,所以如果只对图片的局部区域进行扰动可以产生效果更好的对抗样本
在这里插入图片描述
局部扰动的产生主要有两个步骤,首先是识别原始样本的可区分像素/区域,但是现有的方法要么依赖于目标模型的白盒访问,要么消耗大量的计算资源。第二个步骤是,查询目标模型添加扰动,直到骗过目标模型,现有的方法要么需要与目标模型的大量交互,要么会产生可见噪声。

基于以上背景,我们来看一下本文提出的方案,分三个部分进行,分别是总体框架,然后再分别看一下本方案的两个模块。

本文的方案

整体框架

两个可转移性

第一个是模型解释器的可转移性,从图中可以看出,即使对应的模型具有不同的体系结构和参数,模型解释之间也存在较大的重叠。因此可以使用简单公开的模型识别原始样本的可区分区域/像素。第二个是对抗样本的可转移性,我们用A模型产生的对抗样本可以也可以成功骗过B模型。
在这里插入图片描述
关于模型解释器,我们做一下简单介绍。模型解释器用来识别模型预测最依赖的输入部分,本文选择Grad-CAM来确定局部的重要区域。Grad-CAM的原理如图所示,GradCAM首先为F的最后一层卷积层的每个特征图Ab计算一个权重。然后计算所有具有相应权重的特征图的加权和。接下来,对加权和应用ReLU函数过滤掉负面影响。最后,生成一个显著图SM,反映每个像素的输入对目标模型的重要性。

在这里插入图片描述

设计策略

现有的黑盒攻击大多是通过全局扰动生成对抗样例,通过与目标模型交互从头扰动干净样例,这需要大量的查询才能获得满意的扰动。相反,我们采用以下两种基于可转移性的设计策略来产生局部扰动,从而显著提高查询效率。首先,我们利用模型解释的可转移性来准确地识别干净示例的区分区域。由于判别像素对预测的影响较大,对判别像素进行扰动比对其他像素进行扰动更有效。我们通过预扰动鉴别像素进一步降低对手和目标模型之间交互的复杂性,减少了所需的查询。
在这里插入图片描述

整体结构图

该框架包括两个阶段:预处理和局部攻击。在预处理阶段,给定一个干净的示例,我们确定判别区域(s),这些区域决定了原始样本中对目标模型最重要的部分。本文采用Grad-CAM作为参考模型,得到了一个精确的显著图。由于模型解释的可转移性,这个图也适用于目标模型。然后将显著性进行二值化得到区别区域。然后利用对抗性样本的可转移性,利用参考模型对干净样本进行任意白盒对抗性攻击的局部扰动,生成初始对抗性样本。如果初始的对抗性例子能够骗过目标模型,那么我们就成功地实现了目标。另外,我们利用局部黑盒扰动阶段以黑盒方式进一步扰动初始对抗示例。
在这里插入图片描述

预处理阶段

预处理的目的是识别局部扰动的攻击区域,提高局部黑盒扰动阶段的最终查询效率。给定一个初始样本,首先根据模型解释的可转移性确定原始样本的判别区域。在识别出判别区域后,不直接查询目标模型,而是基于对抗样本的可转移性来产生初始对抗样本,以减少查询次数,这是一种简单有效的白盒攻击,不会干扰所有像素,而是只改变区别像素。预处理实现局部区域定位,还可以产生一个初始对抗样本,减少在后续的黑盒攻击中的查询次数。
在这里插入图片描述

局部黑盒扰动阶段

这一阶段可以使用梯度估计,也可以使用随机搜索

梯度估计

在这里插入图片描述

随机搜索

如果使用随机搜索的话,从最初的对抗样本开始,迭代产生最终的对抗样本,首先向初始对抗样本中随机添加扰动ε3产生K个候选对抗样本。然后把K个候选对抗样本输入目标模型以检验每个修改在候选样本中的重要性。根据目标模型的反馈,我们对K个候选样本进行排序,然后结合前R(R<K)个较好候选样本的所有扰动来更新初始对抗样本,使之成为一个新的候选样本。重复上述过程,直到所有候选样本都可以成功欺骗模型或达到最大迭代次数。

Experiments

数据集采用谷歌随机收集的410张图片,包括动物、交通工具盒交通标志。本文的方法适用于各个模型。本文选择Inception-V3作为目标分类器,ResNet50作为参考分类器。在黑盒扰动部分,分别选取了这几种方法与本文的方案做比较,从而验证本文方法的效果。
在这里插入图片描述
对抗样本的好坏主要有三个标准来衡量,评价标准:NoQ(查询数量)、SR(成功率)、QoAE(对抗样本的质量)
NoQ量化了在整个攻击过程中对目标模型的查询次数,NoQ值越小表示查询效率越高。
SR衡量成功欺骗目标模型8次的次数占攻击总次数的比例。
QoAE衡量干净示例和相应的敌对示例之间的相似性。本文使用MAD和PSNR来量化QoAE。PSNR值越大,相似度越高。MAD值越小表示相似性越高。

Overall Results

在这里插入图片描述

Impact of Parameters

在这里插入图片描述
在这里插入图片描述

Impact of Discriminative Areas

在这里插入图片描述

Impact of Reference Model

在这里插入图片描述

Conclusion

本文探讨了如何在有限的查询开销下发起局部黑盒攻击,提出了一种新的黑盒查询效率框架来产生局部扰动。只扰动干净例子的区别区域,因为它们对模型的预测有更大的影响。在进行黑盒攻击的时候不是从零开始扰动一个干净的样本,而是先用白盒攻击产生一个初始对抗样本,以减少查询次数。实验结果表明,在参考模型性能有限的情况下,该框架能够降低查询开销,提高视觉效果和攻击成功率。

TomboyLU
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文阅读—Square Attack: a query-efficient black-box adversarial attack via random search
yayayamaomaoya的博客
05-21 1865
论文阅读—Square Attack: a query-efficient black-box adversarial attack via random search 发表位置 ECCV 2020 摘要 作者提出了一种基于得分的黑盒Square attack,该模型不依赖于模型的局部梯度信息,因此可以绕过梯度隐藏防御攻击。Square Attack是一种随机搜索方法,它在随机位置选择局部的方形更新,使得每次迭代时扰动近似位于可行集的边界。 背景 当涉及到对安全至关重要的机器学习应用时,对抗性的例子尤其值得
Query-Efficient Black-box Adversarial Attacks Guided by a Transfer-based Prior-阅读札记
qq_43367558的博客
12-15 1772
Query-Efficient Black-box Adversarial Attacks Guided by a Transfer-based Prior 阅读笔记
Query-Efficient Hard-label Black-box Attack: An Optimization-based Approach论文解读
kking_edc的博客
11-14 991
Abstract We study the problem of attacking a machine learning model in the hard-label black-box setting, where no model information is revealed except that the attacker can make queries to probe the corresponding hard-label decisions. This is a very challe
Simulating Unknown Target Models for Query-Efficient Black-box Attacks
weixin_45184581的博客
09-28 837
为了研究深度神经网络的安全问题,已经提出了许多对抗性攻击方法。在黑箱设置下,当前模型窃取攻击训练一个替代模型来伪造目标模型的功能。然而,训练需要查询目标模型。因此,查询的复杂性仍然很高,这类攻击很容易防御。本研究旨在训练一个称为“模拟器”的广义替代模型,它可以模拟任何未知目标模型的功能。为此,我们通过收集现有各种网络攻击时产生的查询序列,构建多任务形式的训练数据。该学习过程在元学习中使用了基于均方误差的知识蒸馏损失,以最小化模拟器和采样网络之间的差异。
网络与系统安全4.1 基于随机搜索的黑盒对抗攻击方法
爱学习爱运动的专栏
05-30 754
1 摘要 神经网络模型容易受到对抗样本的攻击,根据攻击者是否能获取到模型内部参数可以把攻击类型分为白盒攻击和黑盒攻击。 白盒攻击比较常见,但其对目标模型的威胁程度要远低于黑盒攻击。 传统黑盒攻击往往都是基于梯度实现的,并且具有查询次数高、攻击时间长以及成功率低的缺点。 针对这一问题,本文讨论了一种高效查询的黑盒对抗攻击算法,该黑盒攻击也被称为平方攻击,具体内容如下: 平方攻击选择局部方形更新在随机位置,以便在每次迭代中,扰动大约位于可行集的边界处; 平方攻击是一种基于分数的黑盒对抗攻击,具有不依赖于模
Data-Free Adversarial Perturbations forPractical Black-Box Attack.pdf
04-17
实用黑箱攻击的无数据对抗扰动PDF论文,发表于2020-03-03 神经网络容易受到对抗性示例的攻击,这些示例是为欺骗预先训练的模型而设计的恶意输入。对抗性示例经常表现出黑匣子攻击的可转移性,这使得为一个模型设计的...
IQA-CNN-Adversarial-Attacks:针对基于CNN的图像分类(数据集)的对抗性攻击的感知评估
02-22
IQA-CNN-Adversarial-攻击 基于CNN的图像分类的对抗性攻击的感知评估(数据集) 介绍 深度神经网络(DNN)最近获得了最先进的性能,并在许多机器学习任务中取得了重大进展。 但是,最近的研究表明,DNN容易受到对抗...
adversarial-attacks-pytorch:PyTorch对抗攻击的实现
05-12
对抗攻击PyTorch 是一个PyTorch库,其中包含对抗性攻击以生成对抗性示例。...adversarial_images = atk ( images , labels ) :warning: 预防措施 在用于攻击之前,应使用transform [to.Tensor()]将所有图像缩放为
PyTorch-Adversarial-示例:对CIFAR-10和MNIST的对抗攻击
02-14
总的来说,PyTorch-Adversarial-Examples项目为理解和应对深度学习模型的对抗性攻击提供了一个实践平台。通过深入研究这些示例,我们可以更好地理解对抗性攻击的原理,以及如何提高模型的鲁棒性,防止在实际应用中受...
pytorch-adversarial-examples:对抗性范例的PyTorch实现
05-10
对抗性例子 PyTorch实施以下算法: 快速梯度符号法(FGSM)[1] 基本迭代方法(BIM)[2] 傻瓜[3] 先决条件 的Python 3.5.2 PyTorch 0.4.0 火炬视觉0.2.1 NumPy 1.14.3 ...$ python main.py ... 标签:7
Square Attack:一种基于随机搜索和得分的黑盒攻击方法的原理以及代码实现
最新发布
v1716836592的博客
01-23 1848
Square Attack:一种基于随机搜索和得分的黑盒攻击方法的原理以及代码实现,论文:Square Attack: a query-efficient black-box adversarial attack via random search
Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution
weixin_49171105的博客
10-18 585
这项工作研究了针对深度神经网络 (DNN) 的,其中攻击者只能访问被攻击的 DNN 模型返回的查询反馈,而模型参数或训练数据集等其他信息是未知的。提高攻击性能的一种有前途的方法是利用一些白盒代理模型和目标模型(即被攻击模型)之间的对抗性可迁移性。然而,由于代理模型和目标模型之间的模型架构和训练数据集可能存在差异,被称为“”,对抗性可迁移性对提高攻击性能的贡献可能会被削弱。为了解决这个问题,我们创新地提出了一种黑盒攻击方法,通过开发一种对抗性可转移性的新机制,该机制对代理偏差具有鲁棒性。总体思路是。
对抗攻击算法总结论文集合(白盒、黑盒、目标检测、对抗训练等)
热门推荐
ji_meng的博客
04-09 2万+
文章目录一、白盒攻击1.FGSM2.JSMA:3.DeepFool:4.CW:5.PGD:二、黑盒攻击1.单像素攻击2.基于查询3.基于迁移4.基于替代5.其他三、对抗攻击与目标检测四、对抗训练&鲁棒性 只是一个自己看过的论文小汇总,还不能当综述,但也包含了很多经典的对抗攻击算法,方便回顾和查询,自己看的第一篇综述是: Advances in adversarial attacks and defenses in computer vision: A survey 论文这件事,真的只能多看,上学期看
学习笔记:【VALSE短教程】《Adversarial Attack and Defense》
wangsanNOLOVE的博客
11-12 3575
学习笔记:【VALSE短教程】《Adversarial Attack and Defense》 视频地址 1、White-box attacks Direction I 论文地址: EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES 论文地址: ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD 论文地址: Towards Deep Learning Models Resistant to Adversarial Atta
NLP领域的首次Hard Label黑盒攻击!
夕小瑶科技说
03-17 1905
文 | 阿毅编 | 小轶背景前段时间已经和大家分享了两篇关于NLP Privacy的文章。今天,我们又来给大家推送优质论文了(公众号学习法)。其实,NLP与其他方向的跨界结合这段时间层出不...
CVPR 2019 | 针对人脸识别系统的高效黑盒对抗攻击算法
Paper weekly
12-01 8489
本工作提出了一种高效的基于决策的黑盒对抗攻击算法,在业内第一次以完全黑盒的方式成功地实现对人脸识别系统的对抗攻击。本工作由腾讯 AI Lab 主导,与清华大学,香港科技大学联合完成,发表...
一文尽览!文本对抗攻击基础、前沿及相关资源
BAAIBeijing的博客
09-01 2667
//导读深度学习的安全性问题已经逐渐被学术界、工业界所认识到并且重视,就文本领域而言,垃圾邮件检测、有害文本检测、恶意软件查杀等实用系统已经大规模部署了深度学习模型,安全性对于这些系...
ECCV 2020 的对抗相关论文(对抗生成、对抗攻击)
idol24的博客
07-25 2124
点击上方“机器学习生成对抗网络”,关注"星标"获取有趣、好玩的前沿干货!戳我,查看GAN的系列专辑~!本文汇总了ECCV 2020上部分对抗相关论文,后续公众号会随缘...
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
esrgan: enhanced super-resolution generative adversarial networks
06-28
ESRGAN是增强型超分辨率生成对抗网络的缩写,它是一种深度学习模型,用于将低分辨率图像转换为高分辨率图像。它使用生成对抗网络(GAN)的方法,通过训练生成器和判别器来提高图像的质量。ESRGAN是目前最先进的超...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值