【迁移攻击笔记】ILA中间层攻击!对抗扰动の再扰动!EnhancingAdversarialExampleTransferability with an IntermediateLevelAttack

最新推荐文章于 2023-06-24 23:42:22 发布
最新推荐文章于 2023-06-24 23:42:22 发布
阅读量1.4k 收藏 4
点赞数 5
分类专栏: 像素攻击 文章标签: 迁移 对抗攻击 神经网络 模型迁移 像素攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43916250/article/details/103171325
版权

核心思想:

注意:以下内容顺序与论文完全不符,我按照自己的思路写的,所以开头对不上不必惊慌。

① 已知神经网络越往后越线性,所以对抗攻击中模型迁移的大问题背景下,肯定越线性越好迁移。
② But!源模型往往最后过度线性了(可以理解为源模型对目标模型训练中的过拟合),所以最好也不要选太靠后的层。
③ 很多攻击方法诸如FGSM,捕捉梯度的,都是越往后层,对对抗方向的把握越好的。所以这些攻击方法基本都是直接用Loss(最后一层的信息)求导。

由此推出:获取①③和②权衡之后的中间某层(以下简称L层)的梯度信息,最有参考价值。
(ps:以上先验论文中都有实验证明)

问题来了,第一,L怎么确定?第二,怎么利用L层的梯度信息呢?
第一:让你失望了,L是先验(试出来的)。
第二:是本论文的关键,也是论文的主要内容了。

首先,选一种初始化方法,比如FGSM获得x的对抗样本x’,现在我们希望:对x’修改后的x’‘在L层的扰动尽可能的大,但是x’'相对于原始图像x的改变方向并不变化多少(毕竟这个改变方向是FGSM等计算得到的阿)。
因此新的损失函数定义为:
复杂版:方向靠近+扰动大
在这里插入图片描述
简单版: 直接投影
在这里插入图片描述
具体的算法为:在这里插入图片描述
红框为上述利用L层信息的核心步骤。复杂版效果好但是参数a需要精调。后续的内容就是各种测试结果,比如最好的L层是4层等等。
总结一下,这篇文章对中间层的信息利用不算新颖,因为之前有过相关的文章,而且引入了大量的先验。但是总体的效果很好,核心的先验思想:扰动方向与扰动量大小的权衡 也设计的很棒。

希望路过这儿的你可以关注我一下~~我会定期更新一系列阅读笔记和总结,加入自己的见解和思路,希望能对你有用~

少年芒果君
关注
  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[读论文]通过中间层攻击提高对抗样本的迁移性(Enhancing Adversarial Example Transferability with an ILA)
Donald Su
11-13 2059
内容来源于论文:Enhancing Adversarial Example Transferability with an Intermediate Level Attack,发表在11月初的ICCV 2019会议上。 论文地址:Enhancing Adversarial Example Transferability with an Intermediate Level Attack 完整论...
Mozilla 修复跨平台加密库 NSS 中的严重漏洞
smellycat000的专栏
12-02 268
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 修复了影响跨平台网络安全服务 (NSS) 加密库中一个严重的内存损坏漏洞 (CVE-2021-43527)。NSS 可用...
Android Binder漏洞挖掘技术与案例分享
一个有情怀的程序猿博客
07-01 423
本文由作者根据其在KCon 2016黑客大会上的演讲内容整理而成。演讲稿链接:Binder fuzzing based on drozer。 文章开始,先来看几个我在工作生活中发现的Android漏洞。其中包括Android系统锁屏密码绕过(影响了所有安全补丁在2016年10月份以前的Android 6.0、6.0.1、7.0系统)、三星手机关机窃听、三星手机越权修改主题、系统拒绝服务漏洞。然后我们再来解释相关的技术知识和实践。 Android系统锁屏密码绕过 先来看下漏洞视频演示:https:/..
如何一招“骗过”五种神经网络
百度大脑
06-03 713
【飞桨开发者说】张鑫,西安电子科技大学研二在读,飞桨AI安全对抗赛决赛第二名,软件设计师图像识别作为人工智能最成熟的应用领域,已经大规模落地并服务于人们的日常生活。但在大规模商业化的同时...
【论文笔记Enhancing Adversarial Example Transferability with an Intermediate Level Attack
kaguya1004的博客
11-07 709
不做笔记的论文=没看。。。 Contribution 1.提出了一种新的方法Intermediate Level Attack(ILA),该方法通过增加模型预先指定层上的干扰来增强黑盒对抗转移能力(在现有的攻击上进行fine tune)。并进行了全面的评估,表明该方法在多个数据集的多个模型上采用了最先进的方法。 2.在经验观察的指导下,引入一个程序,仅使用源模型来选择一个最大化迁移性的层,从而避免在参数优化过程中对传输模型进行评估。 3.解释了使用中间特征映射优化对抗样本有效果的原因。 Motivation
论文那些事—Feature Importance-aware Transferable Adversarial Attacks
shuweishuwei的博客
12-04 1266
Feature Importance-aware Transferable Adversarial Attacks(FIA,ICCV 2021) 1、摘要 基于迁移性的黑盒攻击中间层攻击。 首先利用 aggregate gradient获取迁移性更好的梯度信息,本文中认为梯度信息代表了该点的feature importance,然后通过抑制比较重要的feature,增强比较不重要的feature,来干扰模型最终的判断。 从图中可以看出传统的攻击方式生成的对抗样本在黑盒攻击中会被弱化,甚至无效,.
黑盒攻击(为什么选择基于迁移攻击
最新发布
算法探索之路
06-24 1723
总之,黑盒攻击是在缺乏目标模型完全内部信息的情况下进行的攻击,基于观察模型输入输出的行为进行推断和攻击。基于查询的攻击:基于查询的黑盒攻击通过向目标模型发送一系列特定的查询来获取模型的输出,然后利用这些输出信息进行攻击。基于迁移攻击:基于迁移的黑盒攻击利用已知模型或数据集的信息来攻击目标模型。综上所述,选择基于迁移的黑盒攻击可以更好地适应模型不可知性的情况,利用已有数据进行攻击,提供更贴近实际场景的评估。基于迁移攻击可以利用已知模型的特性和行为来推断目标模型的性质,从而更有效地进行攻击
黑盒攻击迁移攻击和通用对抗扰动的讲解及实战(附源码)
showswoller的博客
12-31 1612
黑盒攻击迁移攻击和通用对抗扰动的讲解及实战(附源码)
迁移攻击笔记】数据集变化→提高迁移率!Improving Transferability of Adversarial Examples with Input Diversity
weixin_43916250的博客
11-23 750
1.作案动机 已知: 迭代攻击(eg.I-FGSM)过拟合且易陷入局部最优,不适合迁移。 单步攻击(eg.FGSM)欠拟合,不适合迁移。 对输入进行图像处理可以有效抵抗对抗攻击。 推测: 图像处理之后进行训练,提高迁移率。 2.作案手段 ①先回顾FGSM和I-FGSM和MI-FGSM: ②再各将其中对x’的梯度按p的概率换成对T(x’)的梯度: 总图如下: ③攻击集成网络: 用的就是...
显示/光电技术中的JVC 1.27英寸D-ILA微显示器
12-08
JVC宣布开发出了1.27英寸(对角线3.2cm)“D-ILA(Direct-Drive Image Light Amplifier)”微显示器,面向对比度为2万:1的4K2K投影仪。4096×2400像素的4K2K显示,在相同像素数下实现了面积约为原来的43%的小型化...
Vivado下ILA使用指南.docx
05-11
Vivado下ILA使用指南,
16i160iLA操作手册.pdf
11-18
16i160iLA操作手册.pdf
Xilinx Vivado 硬件诊断( ila和vio的使用).docx
01-30
Xilinx Vivado 硬件诊断( ila和vio的使用),两者的灵活交换使用,基本的调试基本功
​ICLR 2022 | 基于积分梯度的迁移对抗攻击
Paper weekly
06-14 925
©PaperWeekly 原创 ·作者 |鬼谷子引言该论文是关于黑盒对抗攻击的工作。论文中作者提出了一种基于积分梯度的可迁移攻击算法(TAIG),该算法可以生成高可迁移性的对抗样本。作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的 TAIG。实验结果表明,论文中提出的方法...
基于梯度的黑盒迁移对抗攻击(附代码)
欢迎来到道的世界
08-06 3155
 黑盒迁移攻击对抗攻击中非常热门的一个研究方向,基于动量梯度的方法又是黑盒迁移攻击的一个主流方向。当前大部分研究主要通过在数据样本的尺寸,分布,规模,时序等方面来丰富梯度的多样性,使得生成的对抗样本在迁移到其它的模型攻击时,能够有更高的攻击成功率。本文会介绍最近几年有代表性的黑盒迁移攻击的论文,这些论文的方法经常会被当成论文比较的baseline。我对论文中涉及到一些数学结论进行补充证明,大部分论文中给出的源码是tensorflow的,我又根据论文的算法流程图用pytorch对论文的核心方法重新编程了一下
迁移攻击笔记模型决策空间几何规律!集成攻击提出!DELVING INTO TRANSFERABLE ADVERSARIAL EXAMPLES AND BLACK-BOX ATTACKS
weixin_43916250的博客
11-21 974
核心思路: 单个模型攻击单个模型: 提出失真率RMSD: ①基于优化的(Adam)方法 ②基于梯度的方法(FG,FGS等) 用上面俩种方法产生对抗扰动迁移攻击,结果为: 非目标: 目标:相当差,几乎没用。增大扰动也不行。 此外,作者还特地验证一下对抗样本最小可转移RMSD,得出结论FG比FGSM更适合转移: 2.重点来了:集成攻击:(用4个白盒模型生成攻击对象攻击一个黑盒模型): ①基...
AidLux智慧交通AI安全之对抗攻击算法
matlab_xiaogen的博客
12-06 1177
AidLux智慧交通AI安全之对抗攻击算法 输出结果:校车误判为缝纫机
ICLR2022:基于积分梯度的迁移对抗攻击
欢迎来到道的世界
05-30 869
IGi(f,x,r)=(xi−ri)×∫η=01∂f(r+η×(x−r))∂xidη\mathrm{IG}_i(f,\boldsymbol{x},\boldsymbol{r})=(x_i-r_i)\times\int_{\eta=0}^1\frac{\partial f(\boldsymbol{r}+\eta\times(\boldsymbol{x}-\boldsymbol{r}))}{\partial x_i}d\etaIGi​(f,x,r)=(xi​−ri​)×∫η=01​∂xi​∂f(r+η×(x−r
迁移攻击笔记】动量逻辑集成!MI-FGSM!Boosting Adversarial Attacks with Momentum
weixin_43916250的博客
11-25 4775
1.更新策略选择 ①optimization-based和多步方法IGSM:成功率高;转移性低。(可能“过拟合”or陷入局部最优) ②单步方法FGSM: 成功率低;转移性高。 所以用: MI-FGSM: 2.集成方式选择 MI-FGSM还不够,得利用集成网络来进一步提高成功率。利用的方式有3种待测试: ①输入softmax的logits ②softmax输出的prediciton ③计算得到的...
vivado中ILA设置Use the Refresh Device command with a valid Probes (debug_nets.ltx) file before executing the command: Run Trigger
06-01
在 Vivado 中,如果您使用 ILA 进行调试,则需要使用“刷新设备”命令,以确保 ILA 实例与目标设备正确通信。但是,刷新设备命令需要有效的 Probes 文件,否则将无法正确识别目标设备。因此,在执行 Trigger 命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值