QEBA:基于类边界查询访问的黑盒攻击
关注公众号,发现CV技术之美
今日分享一篇"老"论文,收录于CVPR2020『QEBA: Query-Efficient Boundary-Based Blackbox Attack』,是关于边界查询的黑盒攻击的研究。
详细信息如下:
论文链接:https://arxiv.org/abs/2005.14137
项目链接:https://github.com/AI-secure/QEBA
导言:
该论文是关于边界查询的黑盒攻击的研究,出自于伊利诺伊大学和蚂蚁金融并发表CVPR2020。要知道当前白盒攻击的效果是非常不错,但是攻击条件很苛刻,攻击者需要能够完全访问深度学习模型,所以黑盒攻击在实践中更为现实。
在该论文中,作者提出了一种仅基于模型最终预测标签的高效查询边界黑盒攻击(QEBA),并从理论上证明了以前基于边界的攻击在整个梯度空间上的梯度估计在查询数方面是无效的,进一步作者给出了基于降维的梯度估计的最优性分析。实验方面也很出彩,不仅在线下的实验中证明了论文中方法的有效性,而且在线上API的攻击中也获得了不错的效果。
01
预备知识
已知分类器模型为
,输入样本为,标签的预测向量为。在基于边界的黑盒攻击中,攻击者只能通过一系列更新样本的查询访问模型,得到的预测标签,其中表示的是第类的预测得分。模型的参数和预测分数向量是无法访问的。目标图像的对应的干净标签为。在恶意标签中选择属于该类的初始图像。
在攻击的过程中,目标图像
向的方向演变,并且一直保持模型的分类标签为。攻击者的目标是找目标图像的对抗样本并且使得,而且满足对抗样本和干净样本之间的距离尽可能地小。
02
论文方法
如下图所示为该论文方法的实例讲解。攻击的目标是去生成一个看似像猫的图片
但实则经模型分类后标签为鱼的对抗样本。首先,攻击者需要初始化一个对抗样本图像,然后通过连续变换的方法去找到猫和鱼之间分类面的决策边界点,接着涉及到论文中的核心,即在一个低维子空间中通过蒙特卡罗模拟去估计对抗扰动的梯度, 最后将子空间的梯度映射回到最初的图像空间中能够保证映射回来的梯度有指向目标图像的分量。
作者首先定义了一个对抗预测分数
和指示函数:
论文中作者为了数学使用的方便,
和简写成了和。对于攻击者而言,可以到得到的取值,但是获取不到模型预测向量的取值。如果时,说明攻击成功,反之。这里需要注意的是,论文中作者介绍的是有目标的黑盒攻击,其实该方法也可以适用于白盒攻击,则此时只需要改动对抗预测分数:
此时的
表示的干净样本的预测分量。
QEBA框架介绍
假定
表示的是通过迭代算法第步生成的对抗样本。假定在分类决策点处,则此时可以通过来估计对抗攻击的梯度,具体的公式表示为:
其中
表示的是个从单位球中的随机采样点。是一个采样的加权常数。如下图所示为对抗梯度估计计算的过程,这里的核心也是论文中创新点在于如何去针对在空间进行采样。
令
是空间上的单位正交基,此时则有。令由基向量张成,它为的维子空间,这里有一个隐含条件是。作者的目的就是想在这个子空间 进行采样,而不是在原始图像空间中进行采样。
已知
是空间单位球的采样点,然后通过仿射变换映射回到原始的图像空间中。详细的梯度估计过程如下算法所示。当子空间的维度与图像空间一致的时候,该算法依然成立。
当估计出对抗梯度
之后,则可以生成下一步的对抗样本其中为第步迭代的步长,沿着对抗梯度的方向即可使得对抗类的预测得分增加。显然是在边界之外,已经被误分类。此时将对抗样本朝着干净的目标样本连续变化,直到投影到决策面上,具体公式如下所示其中投影是通过的二元搜索得到的。
子空间类型
在该论文中,作者引入了三种子空间,并介绍了如何将子空间中的向量投影到图像空间中。
QEBA-S
基于对输入图像梯度具有局部相似性的观察。大部分梯度位于由双线性插值操作跨越的低维子空间中。为了对图像的随机扰动进行采样,作者首先对的低维
进行随机扰动进行采样,其中是降维因子的超参数。然后通过使用双线性插值将其映射回原始图像空间,即
其中
表示的是单位向量,在第处为,其它处为0。
QEBA-F
该方法是通过离散余弦变换从低频子空间中对扰动进行采样。图像的低频子空间包含大多数关键信息,包括梯度信息;离散余弦变换的具体公式表示为:
离散余弦变换的逆变换是从频域到图像域的映射:
其中当
时,,否则。在该论文中作者的频域空间维度的取值为,故有
其中
为降维因子超参数。
QEBA-I
主成分分析是一种标准的降维方法,在高维空间中给定一组数据点,
的目标是寻找一个低维子空间,从而使数据点在子空间上的投影最大化。作者利用优化模型梯度矩阵的子空间。由于待攻击模型的参数无法访问,作者使用一个参考模型来计算一组图像梯度;然后进行主成分分析以提取前个主要成分,并将这个向量张成维子空间。考虑到计算内存和时间的代价,作者采用了随机方法。
03
QEBA理论分析
本节作者从理论上分析了降维如何帮助
进行梯度估计,而且作者还证明了通过从子空间而不是原始空间采样,梯度估计界更紧。表征子空间的空间压缩比率的计算公式为:
则有如下定理计算
和估计的余弦值:令在点附近有梯度,并且采样点相互正交,且有。则和的余弦值的界可以表示为:
其中
是维子空间的相关系数,取值范围为。进一步求极限可知
在实验中当
,当压缩率时,则和的余弦值增加了。
04
实验结果
为了评估所提出方法的有效性,作者首先在图(a)和图(c)中分别显示了ImageNet和CelebA在使用不同数量的查询进行攻击过程中的平均
。可以发现论文中三种提出的高效查询方法的性能都显著优于。在图(b)和图(d)中提供了攻击成功率收敛情况,可以发现、和比更快速地快速收敛到更高的攻击成功率。
在下表中作者以不同的
要求作为阈值,显示了给定不同查询数的攻击成功率,可以发现、和比地效率查询更高,攻击效果更好。
下图表示的是攻击线上亚马逊
的定性可视化图像,源图像是一只猫,目标图像是同一个女人。方法从原始高维空间中采样可以得到在人脸背面显示两个猫耳形状,而论文中的方法生成的对抗扰动更平滑,也验证了论文中所提出方法的优越性。
END,入群????备注:对抗学习
QEBA:基于类边界查询访问的黑盒攻击相关推荐
- 繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
点我轻松弄懂深度学习所有基础和各大主流研究方向入门综述! <繁凡的深度学习笔记>,包含深度学习基础和 TensorFlow2.0,PyTorch 详解,以及 CNN,RNN,GNN,AE, ...
- 《繁凡的论文精读》(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军)
点我一文弄懂深度学习所有基础和各大主流研究方向! <繁凡的深度学习笔记>,包含深度学习基础和 TensorFlow2.0,PyTorch 详解,以及 CNN,RNN,GNN,AE,GAN, ...
- 网络安全模型_基于TCM的网络安全访问模型
摘要:分析Google公司的BeyondCorp安全访问模型,基于TCM标准的可信计算平台,借鉴 BeyondCorp企业安全方法,结合TNC可信网络接入.用户PKC证书验证和基于属,性证书的访问 控 ...
- django 1.8 官方文档翻译: 3-4-2 基于类的内建通用视图
基于类的内建通用视图 编写Web应用可能是单调的,因为你需要不断的重复某一种模式. Django尝试从model和 template层移除一些单调的情况,但是Web开发者依然会在view(视图)层经历 ...
- 基于SqlSugar的数据库访问处理的封装,支持多数据库并使之适应于实际业务开发中
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/cou ...
- django 1.8 官方文档翻译: 3-4-1 基于类的视图
基于类的视图 视图是一个可调用对象,它接收一个请求然后返回一个响应.这个可调用对象可以不只是函数,Django 提供一些可以用作视图的类.它们允许你结构化你的视图并且利用继承和混合重用代码.后面我们将 ...
- 基于Android公交查询系统的设计与实现(论文+程序设计源码+数据库文件)
[摘 要]随着互联网的技术的不断更新发展,人们生活节奏也在不断的加快,对于网络的依赖也越来越紧密,尤其是在等公交,经常会错过班次,但又不知道,下次班次几点发车,这样会导致乘客花掉大把时间在等待,如果可 ...
- Fabric-iot:物联网中基于区块链的访问控制系统
原文连接https://ieeexplore.ieee.org/abstract/document/8964343/ 摘要:物联网设备具有一些特殊特征,如移动性.性能受限.分布式部署等,使得传统的集中 ...
- as 不显示gradle视图_Python构建RESTful网络服务[Django篇:基于类视图的API]
系列文章介绍 本系列文章将详细介绍将Django官方引导教程中的投票项目改写为RESTful网络服务.Django官方教程地址https://docs.djangoproject.com/zh-han ...
最新文章
- 【Codeforces】1065B Vasya and Isolated Vertices (无向图的)
- NAPI技术--在Linux 网络驱动上的应用和完善(二)
- java web项目的目录结构以及各文件夹的功能是什么eclipse的web目录及各作用
- 5-3 神经网络算法预测销量高低(改进版,消除了一些warning)
- python之条件、循环语句
- [LeetCode] Count Numbers with Unique Digits 计算各位不相同的数字个数
- 手把手教你搭建springboot程序
- SVN查看提交日志的命令
- ubuntu共享文件夹文件看不到_实验08:轻松搭建文件夹共享
- 收藏 | 在算法工程师的道路上,你掌握了什么概念或技术使你感觉自我提升突飞猛进?...
- 分子排列不同会导致_第五种手性——体手性的提出与体手性分子的合成
- 一篇文章带你搞定 create connection SQLException, url: jdbc:mysql://10.15.16.63:3306/restful, errorCode 1130
- 随机漫步python程序
- 大学计算机课程学习路线 左飞老师
- android 点击图标重启,Android应用第一次安装成功点击“打开”后Home键切出应用后再点击桌面图标返回导致应用重启问题的解决方法...
- 堡垒机的主要功能是什么?为什么需要堡垒机?
- linux开机运行级别和关机命令总结
- 常见的 App 渠道追踪方法
- Linux没有默认设置root密码
- 2018校招面经-深信服-网申-技术服务工程师挂面
热门文章
- Windows下同时安装Anaconda2(Python2)和Anaconda3(Python3)以及tensorflow
- 网络爬虫之java基础(Ⅰ)
- 单缸发动机扭矩动力学计算:理论计算virtual.lab motion仿真
- 我国四大常用坐标系及高程坐标系【转载】
- B树与B+树【转载】
- html 右边是iframe 左右结构_站点的内链优化和一些常用的结构优化方法
- VC2008 Windows Media Player控件的使用技巧 三
- 百练 Let it Bead
- 蔡高厅老师 - 高等数学阅读笔记 - 15 广义积分和伽马函数 定积分的应用(面积和体积) -(67、68、70、71)
- 蔡高厅老师 - 高等数学阅读笔记 - 07 - 函数的微分 - 微分中值定理 罗尔、拉格朗日中值定理 (31、32、33、34、35)