[读论文]CAAD-2018 Targeted Attack方向季军技术报告

这次分享的是CAAD-2018比赛中Northwest Security团队的技术报告，该团队在此次比赛中取得了了targeted Attack 方向第三名，non-targeted Attack方向第四名的成绩。
题目：Leverage Open-Source Information To Make An Effective Adversarial Attack Against Deep Learning Model
地址：CAAD_technical_report_team_NWSec

研究对抗样本的意义：
- Since then, tremendous efforts have been made to explore this vulnerability and to improve the robustness of neural network.
- On the other hand, competition has been proved to be one effective way to boost the learning on security-related topics.

该团队使用同样的method和 concept 取得了2018 CAAD targeted Attack 方向第三名，non-targeted Attack方向第四名的成绩。

non-targeted and targeted attack攻击方法都是基于多模型的BIM方法。并且在Las Vegas的线下赛中第二名的成绩。

4种攻击方法对抗3种防御方法的测试情况：

这里4种攻击方法都是使用的BIM方法，差异体现在梯度计算上。

攻击方法中，前3种都是针对相应的防御方法求梯度，并进行攻击，是白盒攻击，但是这些攻击方法仅仅针对自己的模型有效。

But the white-box attack is only effective against the corresponding defense model, which means poor transferability. Fortunately, researchers have demonstrated that good transferability can be achieved by multi-model ensembling¹.

经过对可获取的公共对抗方法的评估后，该团队采用了toshi_k团队(NIPs 2017 5th) 的方法，在toshi_k的基础上优化了model selection and hyperparameter tuning的代码。

the key idea来自于Sanxia提出的在对抗攻击中的fused方法。

Non-targeted attack攻击将objective function 定义成到original label的距离，优化目标就是增加该距离。

targeted attack函数将objective function定义成到target label的距离，优化目标就是减少距离。

Adversarially trained defense models usually have unsmooth gradients, which means there are many local minima acting like gradient traps. Toshi_k method applied a 2D Gaussian smoothing over gradient in each iteration, which can effectively remove the local minima.On the other hand, sangxia method added a random perturbation to the calculated adversarial image, which increases the chance of calculation “jumping” out of the local gradient traps.

该团队的伪代码 - pseudocode

x_adv = original_imageFor each iteration:loss = calculate the loss through loss functiongradient = calculate the gradient of loss w.r.t. x_adv# 2d Gaussian smoothinggradient = 2D_Gaussian_smoothing(gradient)# calculate adversarial image x_advx_adv = x_adv - alpha * sign(gradient)# random perturbationx_adv = x_adv + random_number

Toshi_k 为了提高transferability，集成了以下三种模型(求平均值)：

inception_v3
adv_inception_v3
ens_adv_inception_resnet_v2

最优的步长是在1000张给定的图片和包括NWSec开发的最先进的防御软件在内的公共可用防御软件上确定的。the optimal step size could be different based on the pictures and the defender selection。

hyperparameter selection，该团队的攻击方法能够对all the public available adversarial defenders都取得一个高分数。也引入了2017廖方舟团队的most powerful defender

该团队的技术报告是除了冠军之外，分享得最详细的一个，可惜的是没有找到源码，只是在文中放出了伪代码。

Tramèr, Florian, et al. “Ensemble adversarial training: Attacks and defenses.” arXiv preprint. arXiv:1705.07204 (2017) ↩︎

[读论文]CAAD-2018 Targeted Attack方向季军技术报告相关推荐

读论文笔记（1）——web文本挖掘技术研究
刚开始接触,从中文的开始,有点大概的了解吧... ------------------------------------------------------------- 提到的文本聚类: 大致可以 ...
Towards Transferable Targeted Attack 论文笔记
00 Abstract 作者指出,对抗样本的一个内在属性就是它的可迁移性.而对于无目标攻击,有目标攻击生成可迁移样本更加困难.主要原因有二: 噪声固化现象:在迭代攻击过程中,由于所添加的噪声是每次迭代 ...
【一起读论文系列1】基于压缩感知的语音编解码方向研究
[一起读论文系列1]基于压缩感知的语音编解码方向研究 2109,李俊鑫,基于压缩感知的快速语音编解码方法研究 1207,李尚靖,基于压缩感知的语音数字编码技术研究引申资料搜索关键词:compres ...
大咖来信 | 张亚勤@2018：终日“闭关”读论文，思考终极算法
李根发自凹非寺量子位报道 | 公众号 QbitAI 张亚勤是1998年决定回国的,距今已过20年. 这20年中,技术变革天翻地覆,中国发展也日新月异.他见证了互联网在中国的从弱到强,也看到了 ...
Re23：读论文 How Does NLP Benefit Legal System: A Summary of Legal Artificial Intelligence
诸神缄默不语-个人CSDN博文目录论文名称:How Does NLP Benefit Legal System: A Summary of Legal Artificial Intelligence ...
我的读论文经验总结！
↑↑↑关注后"星标"Datawhale 每日干货 & 每月组队学习,不错过 Datawhale干货作者:胡来,Datawhale成员从入门到精通一个领域,绕不开文献阅读 ...
记录理解程度、一篇至少读3遍，吴恩达建议这样读论文！
↑↑↑关注后"星标"Datawhale 每日干货 & 每月组队学习,不错过 Datawhale推荐作者:Richmond Alake,来源:机器之心在科研领域中,读论文 ...
覆盖近2亿篇论文还免费！沈向洋旗下团队「读论文神器」登B站热搜
视学算法报道编辑:小咸鱼好困 [新智元导读]无意中发现B站上有个叫ReadPaper的在线论文阅读笔记神器冲上了热榜!ReadPaper由沈向洋博士创办的IDEA旗下团队研发,其收录了近2 ...
记录理解程度、一篇至少读3遍，吴恩达建议这样读论文
选自Medium 作者:Richmond Alake 机器之心编译参与:杜伟.小舟.魔王在科研领域中,读论文大概是大家的日常基本操作了.但如何读论文,才能实现效率最大化呢?斯坦福大学教授吴恩达在斯 ...

[读论文]CAAD-2018 Targeted Attack方向季军技术报告

[读论文]CAAD-2018 Targeted Attack方向季军技术报告相关推荐

最新文章

热门文章