AdvJND方法在保持高攻击成功率的同时,通过结合视觉模型系数(JND)来提升对抗样本的图像保真度。该算法考虑了人类视觉系统的局限,隐藏噪声并改善了对抗样本的隐蔽性。与传统方法相比,AdvJND在效率和图像质量方面表现更优,特别是在处理复杂图像纹理区域时。
生成对抗样本有两个要求:攻击成功率和图像保真度指标。 增加扰动可以确保对抗样本的攻击成功率很高; 但是生成的对抗样本隐蔽性很差。 为了在攻击成功率和图像保真度之间取折衷,提出了一种名为AdvJND的方法,该方法在生成对抗样本时在失真函数的约束下添加了视觉模型系数,该系数用来衡量视觉上的差异。AdvJND算法生成的对抗样本产生的梯度分布与原始输入相似。该方法可以认为是一种辅助生成方法,用来改善生成算法成功率较高但图像保真度不足的问题。
生成对抗样本的问题可以看成是一个优化问题:
JND系数可以隐藏高斯噪声,因为JND系数大的区域是具有复杂图像纹理的区域。 此外,我们的HVS(human visual system)很难注意到这些区域中的变化,这些变化也被称为人眼的视觉盲点。 JND系数越大,阈值越高,冗余度越大,人眼的灵敏度越小,就可以掩盖更多的噪声。因此,JND系数较大的区域中的扰动不太可能被检测到。
本文有以下贡献:
- 第一个整合JND系数以生成对抗样本。 将人眼的视觉主观感觉作为约束中的先验信息来确定扰动的分布,并生成具有类似于原始输入的梯度分布的对抗样本。 因此,可以将原始噪声隐藏在原始输入中,从而显著改善了攻击效果。
- 算法的图像质量和攻击成功率接近时,使用 AdvJND 算法生成对抗样本所花费的时间比使用 L 2 L_{2} L
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
