本文详细介绍了针对防御措施Defensive distillation的C&W算法,探讨了基于L0、L2、L∞范数的对抗样本生成,提出了优化问题的解决方案,包括投影梯度下降、裁剪梯度下降和变量变换方法,并讨论了各种方法的局限性和优化策略。实验结果表明了算法的有效性。
本文提出了针对Denfensive distillation这种防御措施的C&W算法(基于三种不同距离的对抗样本生成算法),同时也具有一定的迁移性。
本文把构建对抗样本的过程转化为一个最优化问题:
其中 D D D是衡量原始图像与对抗样本之间的距离, 三种不同距离分别为 L 0 L_{0} L0范数 L 2 L_{2} L2范数和 L ∞ L_{\infty } L∞范数。
但由于 C ( x + δ ) = t C(x+δ)=t C(x+δ)=t这个问题很难直接求解,因此作者通过构造函数 f ( x , t ) f(x,t) f(x,t) 使得在 f ( x , t ) ≤ 0 f(x,t)≤0 f(x,t)≤0时,此条件满足。
则问题转换为:
进一步可简化为:
本文给出了7种符合此条件的函数:
为了保证输出能够产生一个合理的图像,需要 0 ≤ x i + δ i ≤ 1 0≤xi+δi≤1 0≤xi+δi≤1,这实际上被称为盒约束 (box constraints)。
本文提出了三种盒约束优化问题的解决方法:
- 投影梯度下降(Projected gradient descent):每实施一步梯度下降,就把计算结果限制在box内,这种方法对于具有复杂更新步骤的梯度下降方法(例如,具有动量的梯度下降)效果不太好,在剪切真实的 x i x_{i} xi时也修改了下一次迭代的输入。
- 裁剪梯度下降法(Clipped gradient descent):与每一步迭代裁剪xx的值不同的,该方法将裁剪直接放入了优化目标,即用 f ( m i n ( m a x ( x + δ , 0 ) , 1 ) ) f(min(max(x+δ,0),1)) f(min(max(x+δ,0),1))代替原目标函数 f ( x + δ ) ) f(x+δ)) f(x+δ))。但这种方法,只是对目标函数进行了约束,可能会存在 x i + δ i x_{i}+\delta _{i} xi+
最低0.47元/天 解锁文章
扫一扫
852
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
