论文那些事儿：《Admix: Enhancing the Transferability of Adversarial Attacks》

最新推荐文章于 2025-02-20 09:15:00 发布

小猪查理ʕ·ᴥ·ʔ

最新推荐文章于 2025-02-20 09:15:00 发布

阅读量403

点赞数

文章标签：计算机视觉人工智能生成对抗网络网络攻击模型

本文链接：https://blog.csdn.net/weixin_46034490/article/details/127336088

版权

论文那些事儿

前言
一、研究背景
二、主要工作
三、实验结果
总结

前言

在这里插入图片描述

原文地址: https://arxiv.org/pdf/2102.00436v3.pdf

代码地址: https://github.com/JHL-HUST/Admix

这是一篇2021年由华中科技、南洋理工、微软亚洲研究院发表在ICCV的一篇关于黑盒攻击的论文。

本文作于2022年10月15日

一、研究背景

近年来对抗样本领域发展比较快，也衍生出各种各样的攻击与防御算法，对抗攻击主要是分为白盒攻击与黑盒攻击。

对抗样本：对抗样本就是在原有样本中加入一些人眼无法察觉的扰动，从而是破坏模型，干扰机器出错。

白盒攻击：提前可以知道对方的网络模型和各种参数，攻击者可以针对模型和参数来生成特有的对抗样本，从而提升攻击成功率，几乎所有的白盒攻击成功率都可以达到90%以上，在对抗攻击刚发展时，白盒攻击更多人去研究。

黑盒攻击：黑盒攻击是攻击者对攻击的网络模型和各种参数，以及防御方式都一无所知，只能通过随机修改扰动和调整图像来进行攻击，因此成功率也较低。但近些年，人们更偏重于研究黑盒攻击，研究黑盒攻击的迁移性。
在这里插入图片描述

在黑盒攻击迁移性研究领域中，通过输入多样性是最有效的方式之一，本文也是对这个方向进行的研究，并且与现在最优秀的迁移攻击模型进行效率对比。作者发现现存的转换都应用于单个图像，会很大的限制对抗性的迁移性，因此，作者借用了Mixup的思想，将多个图进行混合，但从上图可以看出，Mixup对于白盒攻击的效果会稍微差一些，但是黑盒攻击的迁移性是比较好的。所以作者在这个基础上，提出了基于输入变化的攻击方式（Admix）。

二、主要工作

模型

（1）混合样本

作者通过下图中的公式，进行了样本的主从关系混合，确保主要样本占比更大，为了可以保证白盒攻击的成功率，然后加上随机采样的样本，其中η = η′/γ, γ ∈ [0,1] and η′ ∈ [0,γ)通过这种方式可以先定主从关系，以保证x作为主要样本，这里的x ̃没有采用Mixup中的混合标签，而是仍然使用x的标签。
在这里插入图片描述

（2）混合样本梯度

下图为梯度计算公式，其中m1是每个x′的混合图像数量，X′表示来自其他类别的m2随机采样图像的集合。
在这里插入图片描述

（3）整体算法

下图是Admix和MI-FGSM的混合算法。
在这里插入图片描述

Admix与Misup区别

下图是Admix和Misup的混合区别图，它们都是x和x′生成混合图像，一下有三点差异：
•Mixup的目标是提高训练有素的DNN的概括性，而Admix旨在生成迁移性更好的对抗性示例。
•Mixup对x和x′平等对待，同时也混合x和x′的标签。相比之下，Admix将x视为最重要的成分，并结合x’的一小部分，同时保持x的标签。
•如图所示，Mixup线性插值x和x′，而Admix没有这样的约束，从而可以获得更多样化的转换图像。
在这里插入图片描述

三、实验结果

实验设置

Dataset：我们从ILSVRC 2012验证集中随机挑选了1000张涉及1000个类别的干净图像，这些图像几乎被所有测试模型正确分类

Models:四种正常训练网络Inception-v3 (Inc-v3) , Inception-v4 (Inc-v4), Inception-Resnet-v2 (IncRes-v2) [29] and Resnet-v2-101 (Res-101)，三种对抗训练模型ens3-adv-Inception-v3 (Inc-v3ens3 )，ens4- Inception-v3 (Inc-v3ens4 )，ens-adv-Inception-ResNet-v2 (IncRes-v2ens) ，九种先进的防御模型：HGD , R&P , NIPS-r31, Bit-Red , FD , JPEG , RS , ARS ， NRP 。

Single Input Transformation

如下图，为具有各种单个输入转换的单个模型设置下，七个模型的攻击成功率。对手分别使用Inc-v3、Inc-v4、IncRes-v2和Res-101模型制作。*表示白盒攻击。
在这里插入图片描述

Combined Input Transformation

如下图，为具有各种组合输入转换的单个模型设置下，七个模型的攻击成功率。对手分别使用Inc-v3、Inc-v4、IncRes-v2和Res-101模型制作。*表示白盒攻击。
在这里插入图片描述

Ensemble-model Attack and Advanced Defense Models

如图表4：为具有各种输入转换的集成模型设置下，七个模型的攻击成功率。对手是用组合模型制作的，即Inc-v3、Inc-v4、IncRes-v2和Res-101。*表示白盒攻击。

如图表5：为SI-TI-DIM和Admix-TI-DIM分别具有高级防御的九个额外模型的攻击成功率。对手是用组合模型制作的，即Inc-v3、Inc-v4、IncRes-v2和Res-101。
在这里插入图片描述

Ablation Studies

如下四个图，是作者通过消融实验，最终找到比较合适的参数：m2 = 3,η = 0.2 效果最佳。
在这里插入图片描述

总结

在这篇论文中，作者提出了一种名为Admix的新型输入转换方法，以可迁移性。具体来说，对于每个输入图像，作者随机从其他类别中抽样一组图像，并将每个采样图像的一小部分混合到原始图像中，以制作一组不同的图像，但使用原始图像标签进行计算。广泛的评估表明，Admix攻击方法可以比基于竞争性输入转换的攻击实现更好的对抗迁移性，同时在白盒设置下保持高攻击成功率。Admix操作是对抗性学习数据论证的新范式，其中混合的图像更接近决策边界，提供了更多可转移的攻击。