论文那些事儿:《Admix: Enhancing the Transferability of Adversarial Attacks》

前言

在这里插入图片描述

原文地址: https://arxiv.org/pdf/2102.00436v3.pdf

代码地址: https://github.com/JHL-HUST/Admix

这是一篇2021年由华中科技、南洋理工、微软亚洲研究院发表在ICCV的一篇关于黑盒攻击的论文。

本文作于2022年10月15日

一、研究背景

近年来对抗样本领域发展比较快,也衍生出各种各样的攻击与防御算法,对抗攻击主要是分为白盒攻击与黑盒攻击。

对抗样本:对抗样本就是在原有样本中加入一些人眼无法察觉的扰动,从而是破坏模型,干扰机器出错。

白盒攻击:提前可以知道对方的网络模型和各种参数,攻击者可以针对模型和参数来生成特有的对抗样本,从而提升攻击成功率,几乎所有的白盒攻击成功率都可以达到90%以上,在对抗攻击刚发展时,白盒攻击更多人去研究。

黑盒攻击:黑盒攻击是攻击者对攻击的网络模型和各种参数,以及防御方式都一无所知,只能通过随机修改扰动和调整图像来进行攻击,因此成功率也较低。但近些年,人们更偏重于研究黑盒攻击,研究黑盒攻击的迁移性。
在这里插入图片描述

在黑盒攻击迁移性研究领域中,通过输入多样性是最有效的方式之一,本文也是对这个方向进行的研究,并且与现在最优秀的迁移攻击模型进行效率对比。作者发现现存的转换都应用于单个图像,会很大的限制对抗性的迁移性,因此,作者借用了Mixup的思想,将多个图进行混合,但从上图可以看出,Mixup对于白盒攻击的效果会稍微差一些,但是黑盒攻击的迁移性是比较好的。所以作者在这个基础上,提出了基于输入变化的攻击方式(Admix)。

二、主要工作

模型

(1)混合样本

作者通过下图中的公式,进行了样本的主从关系混合,确保主要样本占比更大,为了可以保证白盒攻击的成功率,然后加上随机采样的样本,其中η = η′/γ, γ ∈ [0,1] and η′ ∈ [0,γ)通过这种方式可以先定主从关系,以保证x作为主要样本,这里的x ̃没有采用Mixup中的混合标签,而是仍然使用x的标签。
在这里插入图片描述

(2)混合样本梯度

下图为梯度计算公式,其中m1是每个x′的混合图像数量,X′表示来自其他类别的m2随机采样图像的集合。
在这里插入图片描述

(3)整体算法

下图是Admix和MI-FGSM的混合算法。
在这里插入图片描述

Admix与Misup区别

下图是Admix和Misup的混合区别图,它们都是x和x′生成混合图像,一下有三点差异:
•Mixup的目标是提高训练有素的DNN的概括性,而Admix旨在生成迁移性更好的对抗性示例。
•Mixup对x和x′平等对待,同时也混合x和x′的标签。相比之下,Admix将x视为最重要的成分,并结合x’的一小部分,同时保持x的标签。
•如图所示,Mixup线性插值x和x′,而Admix没有这样的约束,从而可以获得更多样化的转换图像。
在这里插入图片描述

三、实验结果

实验设置

Dataset:我们从ILSVRC 2012验证集中随机挑选了1000张涉及1000个类别的干净图像,这些图像几乎被所有测试模型正确分类

Models:四种正常训练网络Inception-v3 (Inc-v3) , Inception-v4 (Inc-v4), Inception-Resnet-v2 (IncRes-v2) [29] and Resnet-v2-101 (Res-101),三种对抗训练模型ens3-adv-Inception-v3 (Inc-v3ens3 ),ens4- Inception-v3 (Inc-v3ens4 ),ens-adv-Inception-ResNet-v2 (IncRes-v2ens) ,九种先进的防御模型:HGD , R&P , NIPS-r31, Bit-Red , FD , JPEG , RS , ARS , NRP 。

Single Input Transformation

如下图,为具有各种单个输入转换的单个模型设置下,七个模型的攻击成功率。对手分别使用Inc-v3、Inc-v4、IncRes-v2和Res-101模型制作。*表示白盒攻击。
在这里插入图片描述

Combined Input Transformation

如下图,为具有各种组合输入转换的单个模型设置下,七个模型的攻击成功率。对手分别使用Inc-v3、Inc-v4、IncRes-v2和Res-101模型制作。*表示白盒攻击。
在这里插入图片描述

Ensemble-model Attack and Advanced Defense Models

如图表4:为具有各种输入转换的集成模型设置下,七个模型的攻击成功率。对手是用组合模型制作的,即Inc-v3、Inc-v4、IncRes-v2和Res-101。*表示白盒攻击。

如图表5:为SI-TI-DIM和Admix-TI-DIM分别具有高级防御的九个额外模型的攻击成功率。对手是用组合模型制作的,即Inc-v3、Inc-v4、IncRes-v2和Res-101。
在这里插入图片描述

Ablation Studies

如下四个图,是作者通过消融实验,最终找到比较合适的参数:m2 = 3,η = 0.2 效果最佳。
在这里插入图片描述

总结

在这篇论文中,作者提出了一种名为Admix的新型输入转换方法,以可迁移性。具体来说,对于每个输入图像,作者随机从其他类别中抽样一组图像,并将每个采样图像的一小部分混合到原始图像中,以制作一组不同的图像,但使用原始图像标签进行计算。广泛的评估表明,Admix攻击方法可以比基于竞争性输入转换的攻击实现更好的对抗迁移性,同时在白盒设置下保持高攻击成功率。Admix操作是对抗性学习数据论证的新范式,其中混合的图像更接近决策边界,提供了更多可转移的攻击。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值