[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)

最新推荐文章于 2025-01-04 12:57:18 发布
最新推荐文章于 2025-01-04 12:57:18 发布
阅读量2.7k 收藏 12
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 深度学习/机器学习 文章标签: adversary attack CVPR 对抗攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Invokar/article/details/97614695
本文介绍了一种新的对抗性攻击方法,通过平移不变性增强扰动的平滑性和迁移性,有效攻击白盒和黑盒模型。该方法不仅提高了攻击成功率,还降低了计算成本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(2019 CVPR Oral)

文章简介:

  • 本文的方法既可以untargeted attack,也可以targeted attack
  • 提出一种translation-invariant攻击方法,被攻击的白盒模型的识别区域不那么敏感且可以产生迁移性更好的样本来攻击现有的防御模型。下图的结果正好证明这一效果。
  • 本文的方法可以推广到任何基于梯度的攻击方法,其具体做法就是在梯度应用于原图像前先进行卷积操作(这个处理后的梯度就是与我们的扰动息息相关了) 下图是应用于I-FGSM的效果,作者觉得这个扰动相比于FGSM更加平滑,总体来说个人感觉处理之后,把离散的密集小噪声像聚类一般聚成了不太密集的大噪声,看起来更舒服,但是我觉得这个还是比较明显的。
  • 采用上条卷积的操作方法,可以使本来需要的计算量(2k+1)2(2k+1)^2(2k+1)2转为了只需要计算一张图片,通过卷积的方法来模拟不同偏移的影响,大大地提高了效率!
  • 采用L∞L_\infinL范数作为扰动大小衡量标准
  • DataSet: ImageNet-compatible
  • black-box模式下,攻击现有8个state-of-the-art防御模型,最好的方法TI-DIM可以达到平均82%的成功率(可迁移率)

思路来源:
防御模型对可转移的对抗实例的抵抗主要是由于防御模型与正常训练的模型相比,基于不同的识别区域进行预测。下图是使用CAM来可视化attention maps的结果,可以发现

  • 现有的模型都具有类似的attention maps,然而防御模型的attention maps会与原模型产生一定的区别(这种防御模型要么是在不同的数据分布下进行训练,要么是在分类前对输入进行转换)
  • 对于black-box attack,通常针对white-box模型.
  • 生成单个输入的对抗样本。因此,所生成的对抗样本与white model在给定输入点处的识别区域或梯度高度相关,使得很难转移到其他依赖于不同区域进行预测的防御模型。

详细过程:

由于卷积神经网络具有一定的平移不变性.事实上,CNN不是严格的平移不变的, 所以假设平移不变性是在较小的移动下才能保持。(作者在实际处理时,k&lt;=10k&lt;=10k<=10,即平移的像素点也不超过10),所以有如下的近似

经过一系列推导后有

获得上述公式后,我们就可以不必计算(2k+1)2(2k+1)^2(2k+1)2张图片了(2k+12k+12k+1是由于平移范围∈[−k,k]\in [-k, k][k,k]),相反我们只需要计算一张未变换前图片的梯度然后平均所有平移的梯度,作者把他化为

原则上来说越大的平移对应的权重应该越小,本文尝试了下面三种核

作者分别使用这三种核来攻击现有的最好的防御模型,结果如下

  • TI-DIM方法攻击防御模型的性能最好
  • 最佳的选择是Gaussian核
  • 不管是Gaussian核还是Linear核都比Uuniform核效果好,这也验证了我们需要对大的偏移更小的权重。

我的问题:

  • 下面代码中的似乎存在问题?
def graph(x, y, i, x_max, x_min, grad):
    ..................
    noise = tf.gradients(cross_entropy, x)[0]
    noise = tf.nn.depthwise_conv2d(
        noise, stack_kernel, strides=[
            1, 1, 1, 1], padding='SAME')
    noise = noise / tf.reduce_mean(tf.abs(noise), [1, 2, 3], keep_dims=True)
    noise = momentum * grad + noise
    x = x + alpha * tf.sign(noise)
    x = tf.clip_by_value(x, x_min, x_max)
    i = tf.add(i, 1)
    return x, y, i, x_max, x_min, noise

因为grad在代码中初始化为0,但后续没有任何的更新操作,因此这里等价于没有使用Momentum

noise = momentum * grad + noise

我觉得可能得改成

grad = momentum * grad + noise
x = x + alpha * tf.sign(grad)

如果觉得我有地方讲的不好的或者有错误的欢迎给我留言,谢谢大家阅读(点个赞我可是会很开心的哦)~

论文阅读笔记2——Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks
sinat_17581847的博客
04-19 3397
论文标题:Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks 论文链接:https://arxiv.org/abs/1904.02884 关于对抗攻击: 白盒攻击(white-box attacks):在已经获取机器学习模型内部的所有信息和参数上进行攻击。已知给定模型的梯度...
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks (翻译,侵删)
bash_winner的博客
01-20 488
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks 利用平移不变攻击规避针对迁移性对抗样本的防御 摘要 深度神经网络对对抗样本具有脆弱性,通过添加不可察觉的扰动误导分类器。一个有趣的性质是他们的好的迁移性,是的在现实世界中很容易的进行黑盒攻击。由于对抗攻击的威胁,很多的方法被提出来改善鲁棒性。几个顶尖的防御被证明可以对于迁移样本样本具有鲁棒性。在这篇文章中,我们提出了平移不变性攻击方法来
论文那些事—Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks
shuweishuwei的博客
12-02 1010
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(TI-FGSM,CVPR2019) 1、摘要 在本文中,我们提出了一种平移不变攻击方法,以产生更多可转移的对抗样本对抗防御模型。通过优化平移图像的整体摄动,生成的对抗示例对被攻击的白盒模型不那么敏感,并且具有更好的可移植性。为了进一步提高攻击的效率,本文证明了我们的方法可以通过将未翻译图像的梯度与预定义的核进行卷积来实现。我们的方法
NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS (翻译,侵删)
bash_winner的博客
01-15 1169
NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS(Nesterov 加速梯度和缩放不变性攻击) 摘要 深度学习模型对于在良性输入的运用人类不可察觉的扰动所构造的对抗样本具有脆弱性。然而,在黑盒设置下,大多数已经存在的攻击攻击其他防御模型时,迁移性不足。在这篇文章中,从生成对抗样本作为一个优化的过程,我们提出了两个新的方法来改善对抗样本的迁移性,命名为 **Nesterov Iterative Fast Gra
探索深度学习防御的极限:Translation-Invariant Attacks项目解析与应用
gitblog_00012的博客
06-17 401
探索深度学习防御的极限:Translation-Invariant Attacks项目解析与应用 在人工智能的前沿领域,特别是机器视觉中,对抗性攻击与防御的攻防战持续不断,而Translation-Invariant Attacks项目正是这场智慧较量中的新锐力量。本项目基于CVPR 2019的一篇重要论文,揭示了一种绕过现有防御机制的创新方法,其目标是生成更加难以被识别和抵御的转移性对抗样本。 ...
CVPR2019 | TIM | 通过平移不变性攻击规避对可迁移对抗样本的防御
四口鲸鱼爱吃盐的博客
01-04 1901
本文 “Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks” 针对防御模型对可迁移对抗样本的抵抗性,提出一种平移不变性攻击方法,通过对一组平移图像优化生成对抗样本,使其对被攻击白盒模型的判别区域不敏感,从而提高对防御模型的可迁移性,实验证明该方法能有效提升黑盒攻击成功率,暴露了当前防御技术的不安全性。
ENSEMBLE ADVERSARIAL TRAINING: ATTACKS AND DEFENSES(ICLR 2018)
u013775900的博客
07-24 2215
ENSEMBLE ADVERSARIAL TRAINING: ATTACKS AND DEFENSES 后续工作(2020年4月新增) 从2017年NIPS对抗攻击防御大赛开始,许多后续工作提出了更复杂的黑盒的transfer-based 攻击。通过结合额外的优化技术(例如动量(Dong et al.,2018)、数据增强(Xie et al.,2019b;Dong et al.,2019)或残差网络“跳跃连接”的梯度(Wu et al.,2020)),这些攻击大大提高了对抗样本的可迁移性。 虽.
对抗样本(论文解读十)Evading Real-Time Person Detectors by Adversarial T-shirt
Enjoy_endless
01-11 2341
Evading Real-Time Person Detectors by Adversarial T-shirt Kaidi Xu1 Gaoyuan Zhang2 Sijia Liu2 Quanfu Fan2 Mengshu Sun1 Hongge Chen3 Pin-Yu Chen2 Yanzhi Wang1 Xue Lin1 1Northeastern University, USA 2MI...
藏经阁-Evading-MicrosoftATA-for-ActiveDirectory-Domination.pdf
08-26
藏经阁-Evading-MicrosoftATA-for-ActiveDirectory-Domination
对抗样本:ICLR 2022 基于积分梯度的对抗攻击(可迁移的黑盒攻击)Transferable Attack based on Integrated Gradients (TAIG)
算法探索之路
03-20 886
作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的 TAIG。实验结果表明,论文中提出的方法生成了高迁移性的对抗样本,并且可以与以前的方法进行无缝协同工作,而且 TAIG 的性能优于现有的方法。:该论文提出的攻击算法,在实验中特别费时间,每一次迭代需要循环N次(N为batch_size的大小),因此需要消耗大量的时间去生成对抗样本。发现该算法在白盒以及黑盒上的攻击表现都稍微低于其他顶会的攻击算法。
CVPR 2021 ImageNet 无限制对抗攻击 TOP 4 (Advers) 方案分享
gangyikeji的博客
08-12 537
深度神经网络已经在各种视觉识别问题上取得了最先进的性能。尽管取得了极大成功,深度模型的安全问题也在业内引起了不少担忧,举例来说,深度神经网络很容易遭受输入上微小和不可察觉的干扰导致的误分类(这些输入也被称作对抗样本)。除了对抗样本,在实际场景中,深度模型遇到的更多威胁来自于非限制扰动对抗样本,即攻击者在图像上进行大范围且可见的修改,使得模型误识别的同时不影响人的正常观察。
ECCV 2024 | 清华等提出扰动生成器网络,用CLIP提升有目标对抗攻击迁移性
Paper weekly
07-25 913
介绍目前,以深度神经网络为基础人工智能技术被广泛用于许多安全关键领域,如自动驾驶、金融系统、人脸识别。然而,众多研究指出,深度神经网络容易受到对抗样本的威胁,恶意攻击者可以对图片添加一些人眼难以感知的扰动,从而改变模型输出,欺骗模型。现有研究表明,由白盒代理模型生成的对抗样本也能迁移欺骗其他未知的黑盒模型。然而,它们仅在无目标迁移攻击上表现较为良好。即由于过度依赖于白盒模型,这些方法在有目标黑盒...
tensorflow中tf.gradients()解析
sunshine9404的博客
12-01 2657
tf.gradients()解析及grad_ys在xs为(?, 1)时的理解 问题简介 使用tensorflow1.15学习时,有一项tf.gradients的代码,其中用到了grad_ys这个参数,经过一些解析,得到了一些自己的理解 原代码 def fwd_gradients_1(self, U, x): g = tf.gradients(U, x, grad_ys=self.dummy_x1_tf)[0] return tf.gradients(g, self.d
NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS论文解读
kking_edc的博客
02-10 3277
摘要 在黑盒设定下,大多数现有的攻击方式转移性较差。在这篇文章中,从将对抗样本的生成看作一个优化过程的角度出发,我们提出两种新的生成对抗样本的方式,称为Nesterov Iterative Fast Gradient Sign Method (NI-FGSM) 以及 Scale-Invariant attack Method (SIM)。NI-FGSM旨在将Nesterov accelerated gradient加入到迭代攻击中,从而有效提高对抗样本的转移性。SIM基于我们对深度学习模型尺度不变性的发现,
Adversary Attack(对抗攻击)论文阅读笔记
Invokar的博客
05-10 4606
引言: 最近开始学习Adversary Attack(对抗攻击)有关的内容,于是便从Ian GoodFollow的论文开始读起,后面每篇博客都会列举三篇的阅读笔记,来记录学习的经历。如果有讲得不到位或者您有什么想要补充的话,欢迎留言哦~ 接下里将列举3篇论文: Explaining and Harnessing Adversarial Examples(ICLR2015) Adversa...
CVPR2019|最新更新论文~持续更新|CVPR2019百度云下载
热门推荐
王博(Kings)的博客
04-18 3万+
CVPR论文下载百度云链接:链接:https://pan.baidu.com/s/100OAXTIOTPoMjbi-dwOcxA 提取码:请关注【计算机视觉联盟】微信公众号,回复:CVPR2019 今天更新到2019年6月10号 目录 今天更新到2019年6月10号 目标检测、行人检测、视频超分辨等 FAIR工作、视频跟踪、人脸识别、动作识别 行人检测、图像生成、步态识别 目标...
动量迭代式对抗噪声生成方法 | VALSE2018年度杰出学生论文奖
深度学习大讲堂
05-14 1353
编者按:深度模型的精度和速度长期以来成为了评价模型性能的核心标准,但即使性能优越的深度神经网络也很容易被对抗样本攻击。因此,寻找到合适的对抗攻击策略可有效提升模型本身的鲁...
对抗机器学习基础(论文学习笔记二)
Evan Hu的博客
03-22 1059
Foundation系列共有三个部分,是对《Evasion attacks against machine learning at test time》《Intriguing properties of neural networks》《Explaining and harnessing adversarial examples》三篇文章的阅读笔记整理。本文介绍《Intriguing proper...
【今日CV 计算机视觉论文速览 第96期】 8 Apr 2019
TomRen
04-09 1995
第96期 视觉论文速览 去除水印 任务驱动的目标检测COCOTASK 去雾数据集 6D RGBD数据集 分割 膨胀卷积
Evading Tricks 是什么
最新发布
02-14
### 定义 Evading Tricks Evading Tricks 是指在网络攻击过程中,为了绕过检测机制而采用的各种技术手段。这些技巧旨在使恶意软件或攻击行为避开安全防护措施,从而实现未授权访问、数据窃取或其他非法操作。 #### 应用场景 在网络安全领域,常见的逃避策略包括但不限于: - **混淆代码**:通过改变程序结构而不影响其功能来规避签名识别[^1]。 ```csharp string encryptedData = Encrypt(data); // 使用自定义加密算法处理敏感信息 ``` - **API Hooking**:拦截并修改目标应用程序调用的操作系统函数,以隐藏特定活动或篡改执行流程[^2]。 - **进程注入**:将恶意代码嵌入合法进程中运行,以此躲避基于进程名称或路径的安全监控工具[^3]。 #### 技巧实例 一种简单的加密解密方法可以作为基本的逃避手段之一,在传输或存储重要资料前对其进行转换,防止被轻易读取或分析。 ```python from cryptography.fernet import Fernet def generate_key(): key = Fernet.generate_key() with open("secret.key", "wb") as key_file: key_file.write(key) def load_key(): return open("secret.key", "rb").read() key = load_key() or generate_key() cipher_suite = Fernet(key) message = b"A really secret message." encrypted_message = cipher_suite.encrypt(message) decrypted_message = cipher_suite.decrypt(encrypted_message) print(f"Original: {message}") print(f"Encrypted: {encrypted_message}") print(f"Decrypted: {decrypted_message}") ```
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值