[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(2019 CVPR Oral)
文章简介:
- 本文的方法既可以
untargeted attack
,也可以targeted attack
。 - 提出一种translation-invariant攻击方法,被攻击的白盒模型的识别区域不那么敏感且可以产生迁移性更好的样本来攻击现有的防御模型。下图的结果正好证明这一效果。
- 本文的方法可以推广到任何基于梯度的攻击方法,其具体做法就是在梯度应用于原图像前先进行卷积操作(这个处理后的梯度就是与我们的扰动息息相关了) 下图是应用于
I-FGSM
的效果,作者觉得这个扰动相比于FGSM
更加平滑,总体来说个人感觉处理之后,把离散的密集小噪声像聚类一般聚成了不太密集的大噪声,看起来更舒服,但是我觉得这个还是比较明显的。
- 采用上条卷积的操作方法,可以使本来需要的计算量 ( 2 k + 1 ) 2 (2k+1)^2 (2k+1)2转为了只需要计算一张图片,通过卷积的方法来模拟不同偏移的影响,大大地提高了效率!
- 采用 L ∞ L_\infin L∞范数作为扰动大小衡量标准
- DataSet: ImageNet-compatible
- black-box模式下,攻击现有8个state-of-the-art防御模型,最好的方法
TI-DIM
可以达到平均82%的成功率(可迁移率)
思路来源:
防御模型对可转移的对抗实例的抵抗主要是由于防御模型与正常训练的模型相比,基于不同的识别区域进行预测。下图是使用CAM
来可视化attention maps
的结果,可以发现
- 现有的模型都具有类似的
attention maps
,然而防御模型的attention maps
会与原模型产生一定的区别(这种防御模型要么是在不同的数据分布下进行训练,要么是在分类前对输入进行转换) - 对于
black-box attack
,通常针对white-box
模型. - 生成单个输入的对抗样本。因此,所生成的对抗样本与
white model
在给定输入点处的识别区域或梯度高度相关,使得很难转移到其他依赖于不同区域进行预测的防御模型。
详细过程:
由于卷积神经网络具有一定的平移不变性.事实上,CNN不是严格的平移不变的, 所以假设平移不变性是在较小的移动下才能保持。(作者在实际处理时, k < = 10 k<=10 k<=10,即平移的像素点也不超过10),所以有如下的近似
经过一系列推导后有
获得上述公式后,我们就可以不必计算 ( 2 k + 1 ) 2 (2k+1)^2 (2k+1)2张图片了( 2 k + 1 2k+1 2k+1是由于平移范围 ∈ [ − k , k ] \in [-k, k] ∈[−k,k]),相反我们只需要计算一张未变换前图片的梯度然后平均所有平移的梯度,作者把他化为
原则上来说越大的平移对应的权重应该越小,本文尝试了下面三种核
作者分别使用这三种核来攻击现有的最好的防御模型,结果如下
- TI-DIM方法攻击防御模型的性能最好
- 最佳的选择是Gaussian核
- 不管是Gaussian核还是Linear核都比Uuniform核效果好,这也验证了我们需要对大的偏移更小的权重。
我的问题:
- 下面代码中的似乎存在问题?
def graph(x, y, i, x_max, x_min, grad):..................noise = tf.gradients(cross_entropy, x)[0]noise = tf.nn.depthwise_conv2d(noise, stack_kernel, strides=[1, 1, 1, 1], padding='SAME')noise = noise / tf.reduce_mean(tf.abs(noise), [1, 2, 3], keep_dims=True)noise = momentum * grad + noisex = x + alpha * tf.sign(noise)x = tf.clip_by_value(x, x_min, x_max)i = tf.add(i, 1)return x, y, i, x_max, x_min, noise
因为grad在代码中初始化为0,但后续没有任何的更新操作,因此这里等价于没有使用Momentum
noise = momentum * grad + noise
我觉得可能得改成
grad = momentum * grad + noise
x = x + alpha * tf.sign(grad)
如果觉得我有地方讲的不好的或者有错误的欢迎给我留言,谢谢大家阅读(点个赞我可是会很开心的哦)~
[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)相关推荐
- 论文那些事—Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(TI-FGSM,CVPR2 ...
- 论文阅读笔记2——Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks
论文标题:Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks 论文链接:htt ...
- Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks (翻译,侵删)
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks 利用平移不变攻击规避针对迁 ...
- 【论文阅读笔记】Explaining And Harnessing Adversarial Examples
0.论文摘要 本文提出了对于对抗样本存在原因的新解释--神经网络的线性特性,并提出了快速有效生成对抗样本的方法以及基于对抗的模型训练方式. 1.对抗样本的线性解释 考虑如上公式,其中 代表一个生成的 ...
- 论文阅读笔记三十三:Feature Pyramid Networks for Object Detection(FPN CVPR 2017)
论文源址:https://arxiv.org/abs/1612.03144 代码:https://github.com/jwyang/fpn.pytorch 摘要 特征金字塔是用于不同尺寸目标检测中的 ...
- 论文阅读笔记:Frequency-Aware Contrastive Learning for Neural Machine Translation
论文链接:https://arxiv.org/abs/2112.14484 author={Zhang, Tong and Ye, Wei and Yang, Baosong and Zhang, L ...
- [论文阅读笔记53]2021深度神经方法的关系三元组抽取综述
1. 题目 Deep Neural Approaches to Relation Triplets Extraction: A Comprehensive Survey Tapas Nayak†, N ...
- 对抗训练-smart 论文阅读笔记
对抗训练-smart 论文阅读笔记 SMART: Robust and Efficient Fine-Tuning for Pre-trained NaturalLanguage Models thr ...
- DGP 论文阅读笔记
DGP 论文阅读笔记 论文题目:Exploiting Deep Generative Prior for Versatile Image Restoration and Manipulation Ex ...
最新文章
- SpringBoot学习之路:09.Spring Boot中添加Filter应用
- 密码界“女杀手”,破译世上最安全密码系统,获 771 万奖金!
- python中如何调用java_在Python程序中调用Java代码的实现
- oracle 拷贝文件到asm,Oracle 从ASM复制文件到文件系统
- 第4章 Python 数字图像处理(DIP) - 频率域滤波10 - 使用低通频率域滤波器平滑图像 - 理想、高斯、巴特沃斯低通滤波器
- node aws 内存溢出_在AWS Elastic Beanstalk上运行生产Node应用程序的现实
- 前端学习(2830):条件渲染
- 让sourceSafe每天自动备份及修复(适用于vss6.0和vss2005)
- 红皮书--EOF与BOF
- python爬虫requests库_python爬虫使用Requests库 - pytorch中文网
- python之类介绍
- html代码格式化vscode,Vscode代码格式化
- Unity Sprite 灰色图
- 如何检测文档里含有非英字符_知网检测是算字数还是字符
- conda创建环境报错conda.core.subdir_data.Response304ContentUnchanged
- 纯CSS边框渐变动画
- Harmonyos官网申请的,HarmonyOS 2.0手机开发者Beta公测招募,普通用户有没有必要申请?...
- 西门子PLC的S7协议报文解析说明
- 快捷方式自动修复小工具
- 用MATLAB求解数据拟合问题
热门文章
- 浏览器跨域问题以及常用解决方案
- Elasticsearch常见字段映射类型之scaled_float
- Office2003与Office2010共存
- 如何避免浏览器自动填充密码
- RW多功能微生物菌肥—抗生菌
- 我眼中的光明· 第五周
- 【数据结构与算法】之深入解析“切割后面积最大的蛋糕”的求解思路与算法示例
- 一个大学生创业者的“白日梦”项目
- Linux 性能优化实战(倪朋飞)---系统中出现大量不可中断进程和僵尸进程怎么办?
- java计算机毕业设计ssm科技类产品众筹系统9x420(附源码、数据库)