本文介绍了CVPR2021一篇论文,提出了Variance Tuning方法来提升基于梯度的攻击迁移性。通过调节梯度变化,该方法在面对9种防御模型时取得了90.1%的平均攻击成功率,显著优于现有攻击技术。Variance Tuning可应用于MI-FGSM和NI-FGSM等攻击,提高对抗样本的通用性和跨模型攻击性能。
论文作者: Xiaosen Wang Kun He
作者单位: School of Computer Science and Technology, Huazhong University of Science and Technology
作者邮箱: {xiaosen,brooklet60}@hust.edu.cn
源代码: https://github.com/JHL-HUST/VT.
Abstract 摘要
作者提出一种方法——varirance tuning,其增强了基于梯度迭代攻击方法,提高了攻击的迁移性。
效果:基于梯度迭代攻击方法加入variance tuning在输入变换以及多模型的设置下,面对9种防御方法可以达到90.1%的平均攻击成功率,将当下最好攻击效果提高了85.1%。
1. Introduction 引言
1.1 背景
近年来,对抗样本激起广泛的兴趣,一方面其可以检验模型的脆弱性,另一方面可以提供模型的鲁棒性。
基于白盒攻击生成的对抗样本展现出很好的有效性,但是迁移性低,尤其是攻击使用了防御机制的模型。为解决此问题,当下研究聚焦于提高对抗样本的迁移性,如优化的梯度计算(Momentum,Nesterov’s accelerated gradient 等),攻击多种模型,采用各种输入变换(random resizing and padding, tranalstion, scale, admix, etc.)。然而,白盒攻击与基于迁移黑盒攻击仍有较大差距。
1.2 引入
作者提出了一种新颖的方法——variance tuning。相较于已有的基于梯度的方法,该方法使用临近过去数据点的梯度变化来额外调节当下梯度。主要思想是在每次迭代时减少梯度的变化,从而在搜素过程中稳定更新方向并摆脱局部最优解。
2. 相关工作 Related Work
- 符号定义
| 符号 | 含义 |
|---|---|
| x | 原始图片 |
| y | 图片对应的标签 |
| J ( x , y ; θ ) J(x,y;\theta) J(x,y;θ) | 分类器的损失函数 |
| x a d v x^{adv} xadv | 对抗样本 |
| || ⋅ \cdot ⋅|| p _p p | p-范数距离 |
2.1 对抗样本攻击
- 对抗样本攻击包括基于梯度的方法(gradient-based methods)、 基于优化的方法(optimization-based methods),基于分数的方法(score-based methods),基于决策的方法(decision-based methods)。
- 聚焦于攻击迁移性,作者简述了基于迁移攻击的两个分支:
- 基于梯度的攻击(Gradient-based Methods): 应用高级的梯度计算来提高迁移性。如:
- Fast Gradient Sign Method (FGSM)
x a d v = x + ϵ ⋅ s i g n ( ∇ x J ( x , y ; θ ) ) x^{adv}=x+\epsilon \cdot sign(\nabla_x J(x,y;\theta)) xadv=x+ϵ⋅sign(∇xJ(x,y;θ)) - Iterative Fast Gradient Sign Method (I-FGSM)
x t + 1 a d v = x t a d v + α ⋅ s i g n ( ∇ x t a d v J ( x t a d v , y ; θ ) ) x 0 a d v = x x_{t+1}^{adv} = x_t^{adv} + \alpha \cdot sign(\nabla_{x_t^{adv}} J(x_t^{adv},y;\theta)) \\x_0^{adv}=x xt+1adv=xtadv+α⋅sign(∇xtadvJ(xtadv,y;θ))x0adv=x - Momentum Iterative Fast Gradient Sign Method (MI-FGSM)
g t + 1 = μ ⋅ t + ∇ x t a d v J ( x t
- Fast Gradient Sign Method (FGSM)
最低0.47元/天 解锁文章
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
