Stochastic Variance Reduced Ensemble Adversarial Attack for Boosting the Adversarial Transferability

已于 2022-08-26 17:49:43 修改
阅读量909 收藏
点赞数
分类专栏: 对抗攻击 文章标签: 机器学习 人工智能 神经网络 深度学习
于 2022-08-26 17:28:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49171105/article/details/126525895
版权

在这项工作中,我们将迭代集成攻击视为随机梯度下降优化过程,其中不同模型上梯度的方差可能导致局部最优值不佳。为此,我们提出了一种新的攻击方法,称为随机方差降低集成(SVRE)攻击,它可以减少集成模型的梯度方差并充分利用集成攻击。标准ImageNet数据集的实证结果表明,所提出的方法可以提高对抗性可迁移性,并显着优于现有的集成攻击。

文中提出的一些总结性的知识:

  1. 现有的对抗攻击方法可以分为梯度优化攻击、输入转换攻击、模型集成攻击。集成攻击的基本思想是使用多个模型生成对抗样本
  2. 防御主要有基于对抗性训练的防御基于输入转换的防御
  3. 对抗性训练被认为是最有效的防御方法之一,它通过在训练过程中生成对抗性样本来扩充训练数据。
  4. 如果一个采样图像再不同模型上更新方向的余弦相似度极低,那么说明这些模型再优化方向上存在相当大的差距,
  5. 在前人的工作中,Lin等人和Wang等[16,31]将对抗样本的生成过程类比为神经网络的训练过程,其中白盒模型类比为训练数据,黑盒模型类比为测试数据。因此,利用输入图像制作对抗样例的迭代优化可视为神经网络的参数更新,并将对抗样例的可转移性类比为模型的泛化
  6. SVRG的基本思想是利用预测方差缩减来减小随机梯度下降(Stochastic Gradient Descent, SGD)的固有方差,同时减小多个模型的固有梯度方差。
     

符号说明

x:干净的图片

y:x对应的真实标签

J(x,y):分类器的损失函数

B_{\epsilon }(x)={\left \{ x':\left \| x-x' \right \|_{P}\le \epsilon \right \} }:以x为中心,\epsilon为半径的L_{p}范数的球

无目标对抗性攻击的目的是搜索使损失J(x_{adv},y)最大化的对抗样本x_{adv}\in B_{\epsilon}(x)

本文将重点放在L_{\infty }上。

方法

已存在的集成攻击方法:

Ensemble on predictions.

 1_{y}是x真实标签y的one-hot编码

p_{k}为第k个模型的预测

\sum_{k=1}^{K}\omega_{k}=1,\omega _{k}\geq 0是集合模型的权重

Ensemble on logits.

 l_{k}是第k个模型的logits

Ensemble on losses.

 J_{k}是第k个模型的损失。

上面三个模型中,\omega_{k}=\frac{1}{k}
从直观上看,现有的集成攻击方法有助于提高对抗可转移性,因为攻击集成模型可以帮助找到更好的局部极大值,并且更容易推广到其他黑盒模型。但是,仅仅对模型的输出(logits、预测或损失)进行平均来建立对抗攻击的集成模型可能会限制攻击性能,因为不同模型的单个优化路径可能会有差异,但没有考虑方差,导致对集成模型的过拟合。

Stochastic Variance Reduced Ensemble Attack

在本文中,将迭代集成攻击视为一个随机梯度下降优化过程,在每次迭代中攻击者选择一批集成模型进行更新,在对抗样本生成过程中,不同模型上的梯度方差可能会导致局部最优性较差,因此,我们的目标是减小梯度方差,以稳定梯度更新方向,使诱导的梯度更好地推广到其他可能的模型。

Ens:传统的模型集合攻击方法。

本文提出的方法与传统模型的主要区别在于SVRE有一个内部更新循环,SVRE通过M次更新获得方差降低的随机梯度

具体:

首先通过对模型的一次遍历得到多个模型的梯度g^{ens},并且在M次内部迭代中保持这个值。

然后,从模型集合中随机选取一个模型,在方差缩减\widetilde{g}_{m}后得到随机内部梯度,并利用\widetilde{g}_{m}的累计梯度更新内部对抗样本。

 最后,使用一个内部循环的累积梯度更新外部梯度,由于\widetilde{g}_{m}g^{ens}_{m}的无偏估计,\bigtriangledown_{x}J_{k}(x^{adv}_{t},y-g^{ens}_{t})有助于减少不同模型上的梯度。

SVRG与SVRE

为了解决这个问题,我们提出了一种新的方法,称为随机方差减少集合攻击(SVRE),以增强集合攻击的对抗可转移性。
我们的方法受随机方差减少梯度(SVRG)方法[12]的启发,该方法设计用于随机优化,它有一个外环,在一批数据上保持平均梯度,一个内环,从批中随机抽取一个实例,并根据方差减少计算梯度的无偏估计。
在我们的方法中,我们将集成模型作为外循环的批数据,在内循环的每次迭代中随机绘制一个模型。
将良性图像作为初始对抗样例,外循环计算该批模型的平均梯度,将当前样例复制到内循环,内循环对内部对抗样例进行多次迭代更新。
在每一次内部迭代中,SVRE计算一个随机选择的模型上的当前梯度,由该随机选择模型和集成模型上的外部对抗示例的梯度偏差调整。
在内部循环的最后,外部对抗示例将使用最新的内部对抗示例的调整梯度进行更新

你今天论文了吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
提高对抗性迁移能力,通过基于神经元归属的攻击方法(CVPR 2022)
我爱计算机视觉
05-12 591
关注公众号,发现CV技术之美本篇文章分享CVPR 2022 论文『Improving Adversarial Transferability via Neuron Attribution-Based Attacks』,通过基于神经元归属的攻击提高对抗性迁移能力。详细信息如下:论文链接:https://arxiv.org/abs/2204.00008项目链接:https:...
SVRG在逻辑二分类模型上的应用
Oscar2018的博客
08-01 2181
1.随机方差缩减梯度(SVRG) 在实际问题中为了保证SGD收敛,须将步长逐渐缩短到0,这使得SGD收敛速度很慢。小步长的需求是来自于SGD随机取样造成的方差,但是存在下面描述的修复。每轮都使用来估计,并用来接近最优参数,称为的“快照”。比如每经过m次SDG迭代,就抓拍一个,记为本轮的。此外还要计算下每轮的平均梯度                                        ...
【论文阅读】CVPR2022||Stochastic Variance Reduced Ensemble Adversarial Attack for Boostingthe Adversarial
qq_45822394的博客
02-23 454
在这项工作中,我们将迭代集成攻击视为随机梯度下降优化过程,其中不同模型上梯度的方差可能导致局部最优值不佳。为此,我们提出了一种新的攻击方法,称为随机方差降低集成(SVRE)攻击,它可以减少集成模型的梯度方差并充分利用集成攻击。标准 ImageNet 数据集的实证结果表明,所提出的方法可以提高对抗性可迁移性,并显着优于现有的集成攻击。
Towards Understanding and Boosting Adversarial Transferability from a Distribution Perspective
weixin_49171105的博客
02-14 325
在本文中,我们提出从数据分布的角度来理解和改进对抗可转移性,这建立在机器学习方法中的经典假设之上,即深度模型可以正确地分类与训练数据集独立且同分布的验证数据,但很难分类非分布的示例。因此,微调模型的梯度可以近似于真实数据分布的梯度,并且微调模型的梯度生成对抗样本的过程可以近似于 Langevin 动力学的过程,这使能够操纵图像的分布。我们的方法可以显著提高精心设计的攻击的可移植性,并在无目标和有目标的场景中实现最先进的性能,在某些情况下超过之前的最佳方法高达40%。第一项是常数,因为不依赖模型的参数。
Improving Adversarial Transferability via Neuron Attribution-Based Attacks
weixin_49171105的博客
09-05 1224
在本文中,我们提出了基于神经元归因的攻击 (NAA),它通过更准确的神经元重要性估计来进行特征级攻击。由于最小化输出神经元的总归因可以同时减少积极归因和扩大消极归因,我们考虑由计算的同一层神经元的所有归因。最后一个因素是加权归因,包括γ, fp(·)和fn(·),以检验不同极性和值的神经元归因的重要性。首先,神经元归因为神经元重要性的建模提供了一种简单而有效的方法,它反映了真实的归因对输出的影响。此外,独立假设简化了神经元归属的表示,同时提高了生成的对抗示例的可转移性。...
论文研究-Nonlinear stochastic variance reduction gradient based neural networks and its convergence.pdf
08-22
基于神经网络的非线性随机梯度学习算法及其收敛性,王健,杨国玲,在实际问题中,大量的最优问题是非凸最优问题。而随机梯度学习算法(SVRG)提供了针对这类问题的一种解决方法,即该算法能够通过训练
论文研究-Stochastic Boosting for Large-scale Image Classification.pdf
08-15
面向大规模图像分类的随机boosting,庞俊彪,黄庆明,目前,Boosting算法在图像处理和计算机视觉中已经得到广泛应用。许多工作涉及到boosting算法的设计和使用,但对于boosting算法在大规模数据�
Variance-Constrained Control for Stochastic Systems with Multiplicative Noises
02-08
Variance-Constrained Control for Stochastic Systems with Multiplicative Noises
Custom code for the manuscript _Stochastic Turing patterns
03-24
资源名:Custom code for the manuscript _Stochastic Turing patterns in a synthetic bacterial population_ 资源类型:matlab项目全套源码 源码说明: 全部项目源码都是经过测试校正后百分百成功运行的,如果您...
A Stochastic Computational Approach for the Analysis of Fuzzy Systems
02-08
A Stochastic Computational Approach for the Analysis of Fuzzy Systems
SGD随机梯度下降法的研究方向综述
最新发布
auguste805的博客
09-17 295
现在随着AI的兴趣,机器学习深度学习、强化学习等问题广泛应用在各个领域,而最优化问题求解,即损失函数最小化成为了求解问题关键的一个环节。使得最近20年,优化方法发展迅速,许多人从不同的角度去阐释算法改良的路线。包括从优化问题本身(凸或非凸,光滑或离散)、自适应学习率(动态调整学习率,减少手调参数的频率,应用更多的场景)、加速技巧(动量加速类的算法)等。因此,许多领域的学者都致力于研究该问题的改进,包括统计学、计算机、数学等,希望这样的文章能帮助大家寻找该问题的研究方向。
SVRG&Lissa&NewSamp实现
xfzero的博客
07-07 2382
SVRG, NewSamp & Lissa 实现 具体实现参见Github,算法分析可以参我的一篇二阶算法博客 SVRG, NewSamp & Lissa 这是基于python实现的SVRG, NewSamp, Lissa的baseline 数据集采用的是Mnist49(手写数据集中的4和9) SVRG 算法分析 SVRG(Stochastic Varia...
A Survey of Optimization Methods from a Machine Learning Perspective
Miracle0614的博客
11-28 1427
A Survey of Optimization Methods from a Machine Learning Perspective 机器学习视角优化方法的综述 机器学习小白,读了一篇近年关于优化方法的综述,记录的同时也给大家分享一下 原文地址:https://arxiv.org/abs/1906.06821 Abstract摘要 机器学习发展迅速,在理论上取得了许多突破,并广泛应用于各个领域...
【迁移攻击笔记】梯度平滑攻击!UNDERSTANDING AND ENHANCING THE TRANSFERABILITY OF ADVERSARIAL EXAMPLES
weixin_43916250的博客
11-25 956
1.主要内容 ①研究了:网络结构、大小和精度,loss梯度的局部平滑性 对 迁移率 的影响。 ②提出了局部光滑方法:用各个点周围的梯度代替各个点本身的梯度。(防止边界过抖影响迁移率) 2.Introduction: ①对抗转移是不对称的,模型A生成的对抗实例很容易转移到模型B,反之可能不成立。(我觉得这一点很好解释,大边界到小边界很好转移,反之不行,不知道为什么作者说这一点说明边界相似性没法解释)...
论文笔记: 对抗样本 CVPR2021 Enhance Transferability of Adversarial Attacks through Variance Tuning
weixin_43184082的博客
08-23 3020
这里写自定义目录标题Abstract 摘要1. Introduction 引言背景引入2. 相关工作 Related Work 论文作者: Xiaosen Wang Kun He 作者单位: School of Computer Science and Technology, Huazhong University of Science and Technology 作者邮箱: {xiaosen,brooklet60}@hust.edu.cn 源代码:https://github.com/JHL-HUS
网络攻防之——BurpSuite的使用
The__Apollo的博客
04-05 2623
burpsuite的介绍:burpsuite是一个web应用程序集成攻击平台,它包含了一系列burp工具,这些工具之间有大量接口可以互相通信,目的是为了促进和提高整个攻击的效率。平台中所有工具共享同一robust框架,以便统一处理HTTP请求,持久性,认证,上游代理,日志记录,报警和可扩展性。burpsuite允许攻击者结合手工和自动技术去枚举,分析,攻击web应用程序,这些不同的burp工具通过协
机器学习HW10对抗性攻击
Raphael9900的博客
01-01 1524
HW10
对抗攻击(1)
爱学习爱运动的专栏
12-19 608
本文是根据李宏毅老师在B站上的视频整理而来,视频地址为: https://www.bilibili.com/video/BV1n3411y7xD?p=65 1 无目标和有目标攻击的区别 无目标攻击:攻击后的标签不确定,只要是和原始标签差别越大越好。 有目标攻击:攻击后的标签是确定的某一个类别,并且要求和原始标签越大越好。 ...
对抗攻击与防御(2022年顶会顶刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
算法探索之路
03-19 4298
2022年 关于对抗攻击跟防御的全部顶会、顶刊论文
Feature Statistics Mixing Regularization for Generative Adversarial Network中可视化方法是什么
04-30
Feature Statistics Mixing Regularization for Generative Adversarial Network (FSMR) 的可视化方法主要是使用 t-SNE (t-Distributed Stochastic Neighbor Embedding) 对生成器的样本以及真实数据进行降维可视化。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值