论文那些事—Enhancing the Transferability of Adversarial Attacks through Variance Tuning

最新推荐文章于 2025-02-05 16:29:47 发布
最新推荐文章于 2025-02-05 16:29:47 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 深度学习 人工智能 机器学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shuweishuwei/article/details/121488430
版权

Enhancing the Transferability of Adversarial Attacks through Variance Tuning(CVPR2021)

原文链接https://arxiv.org/abs/2103.15571

1、摘要

现有的基于梯度的攻击手段在白盒中能够取得不错的效果,但迁移到黑盒上后攻击性能就大大降低了。本文提出了一种称为方差调整的新方法来增强基于梯度的迭代攻击方法,并提高其攻击可转移性。具体地,在梯度计算的每次迭代中,而是直接使用动量梯度,进一步考虑前一次迭代的梯度方差来调整当前梯度,从而稳定更新方向并从较差的局部最优解中逃逸。

2、方法论——Variance Tuning

典型的基于梯度迭代的攻击(如I-FGSM) 在每次迭代过程中根据梯度的符号方向搜寻对抗样本,但容易陷入局部最优,或过拟合。MI-FGSM加入了动量,以稳定更新方向,逃离局部最优。NI-FGSM进一步采用了Netserov’s accelerated gradient 来迁移性。

作者在上面基础上,提出利用之前数据的临近数据的梯度信息来调节当下数据的梯度

作者首先定义了梯度变化:

 其中,{\varepsilon }'=\beta \cdot \varepsilon  , [公式] 是个超参数, [公式] 是扰动上界。由于输入空间的连续性,无法直接得到前一项,因此可以采样 [公式] 个样本来近似:

 其中, x^{i}=x+r_{i} , [公式] 。在实现中,就是通往 [公式] 上加多次随机产生的扰动,然后求平均再计算变化。一般 [公式] 。

总的算法如下,当然还有和NI-FGSM结合的方法:

 和MI-FGSM不同的地方在于多加了第6行。

3、实验结果

不管是白盒还是黑盒都比原来的方法效果要好(带 * 号的表示白盒):

 能提升集成模型产生的对抗样本的性能:

 能提升对防御模型的迁移效果:

 4、总结

       将其梯度方差定义为邻域的平均梯度与其自身梯度之间的差值。然后,我们采用数据点在上一次迭代中沿优化路径的梯度方差来调整当前梯度。重点还是在实验对比上,羡慕中顶会。

凉茶i
关注
[论文笔记]UNDERSTANDING AND ENHANCING THE TRANSFERABILITY OF ADVERSARIAL EXAMPLES
weixin_43972712的博客
11-04 693
研究背景 在对抗攻击中,对抗样本可迁移性是人们关注的一个点。黑盒攻击的成功率一直不高,这背后的攻击机制需要探索,并且需要改进攻击效果。 主要贡献 本文从两个角度分析了影响对抗样本可迁移性的因素:模型本身性质和构造对抗样本时的loss函数的局部光滑性 本文提出了一种提升黑盒攻击成功率的方法,variance-reduced attack。 主要方法 1、模型本身性质对于对抗样本迁移性的影响 (1...
CVPR 2021最全论文开放下载!附pdf下载链接!
中科院AI算法工程师的博客
06-18 1万+
CVPR 2021最全论文开放,附所有pdf下载链接!
Enhancing the Transferability of Adversarial Attacks through Variance Runing
qq_32925101的博客
08-14 1101
Enhancing the Transferability of Adversarial Attacks through Variance Runing CVPR2021 大类属于使用新的数据增广技术提高对抗样本的攻击迁移性,属于黑盒攻击。 Abstract:白盒攻击效果已经很好了,但是黑盒(迁移)攻击效果仍不能达到满意的效果。本文引入一种新的方法——Variance Tuning,来提高基于梯度迭代攻击方法类的攻击效果,并提高其攻击迁移性。具体地,在使用梯度更新参数的时候,并不是使用当前梯度来进行动量累积
论文那些—Admix: Enhancing the Transferability of Adversarial Attacks
shuweishuwei的博客
12-05 2575
Admix: Enhancing the Transferability of Adversarial Attacks(ICRL2021) 1、摘要 人们提出了各种方法来提高对抗样本的迁移性,其中输入多样性是最有效的方法之一。我们朝着这个方向进行研究,发现现有的转换都应用于单个图像,这可能会限制对抗性的迁移性。为此,我们提出了一种新的基于输入变换的攻击方法,称为混合攻击(Admix),该方法考虑了输入图像和从其他类别随机采样的一组图像。与直接计算原始输入上的梯度不同,“混合”计算的梯度与每个附加模块图像
【对抗攻击论文笔记】Enhancing the Transferability of Adversarial Attacks through Variance Tuning
ji_meng的博客
07-19 2032
本文提出了一种基于**方差调整迭代梯度的方法**来增强生成对抗样本的可迁移性。具体来说,在梯度计算的每一次迭代中,不再直接使用当前梯度进行动量积累,而是进一步考虑前一次迭代的梯度方差来调整当前梯度。关键思想在于每次迭代中**减小梯度的方差,从而稳定更新方向**,这样才能避免局部最优。...
论文代码复现Enhancing the Transferability of Adversarial Attacks through Variance Tuning
lanmy_dl的博客
05-09 593
Enhancing the Transferability of Adversarial Attacks through Variance Tuning》CVPR2021 论文下载地址 论文源码 一、摘要 简要摘要在这里有兴趣的再去看 本文提出了一个新的方法称为通过方差微调来提高基于迭代梯度的攻击方法,提高其攻击的可转移性。具体来说,在每次迭代时进行梯度计算,而不是直接使用当前梯度来进行动量积累,而是进一步考虑前一次迭代的梯度方差来调整当前梯度,以稳定更新方向,并逃避糟糕的局部最优状态。在标准ImageN
论文阅读笔记】NeurIPS2020文章列表Part1
zincrain的博客
12-09 2万+
A graph similarity for deep learning An Unsupervised Information-Theoretic Perceptual Quality Metric Self-Supervised MultiModal Versatile Networks Benchmarking Deep Inverse Models over time, and the Neural-Adjoint method Off-Policy Evaluation and Learning.
顶会速递 | ICLR 2020录用论文全集
语言智能技术笔记簿
03-10 1万+
深度学习三巨头Yoshua Bengio和Yann LeCun牵头创办的人工智能顶会ICLR今年最终收到2594篇投稿,共687篇论文被接收,其中48篇orals,108篇spotlights,531篇posters,录取率为26.5%,相比去年的31.4%略有下降。华人学者占比为47%。这篇博客为大家列出全部录用的论文列表,方便大家自取。
【AI 顶会】NIPS2019接收论文完整列表
热门推荐
TomRen
09-11 3万+
NeruIPS2019接受的论文列表已放出
AAAI 2022 论文列表
gbstack08的专栏
02-15 2万+
链接及代码之后会更新 GitHub链接:https://github.com/gbstack/AAAI-2022-papers Scaled ReLU Matters for Training Vision Transformers Pichao Wang, Xue Wang, Hao Luo, Jingkai Zhou, Zhipeng Zhou, Fan Wang, Hao Li, Rong Jin Search Strategies for Topological Network Optimizat
论文笔记(三)《Enhancing the Transferability of Adversarial Attacks through Variance Tuning
qq_39667860的博客
05-03 439
《通过方差调整来增强对抗攻击的可转移性》 一、Abstract In this work, we propose a new method called variance tuning to enhance the class of iterative gradient based attack methods and improve their attack transferability. 在本文中,我们提出了一种新的方法,称为方差调优,以增强基于迭代梯度的攻击方法,并提高它们的攻击可转移性。 we f
Enhancing the Transferability of Adversarial Attacks through Variance Tuning论文解读
kking_edc的博客
11-10 456
Abstract 尽管对抗攻击在白盒设定下取得了很高的成功率,但是绝大多数现存的adversaries 常常在黑盒设定下exhibit 弱迁移性,尤其是在攻击的模型存在防御机制的情况下。在这篇文章中,我们提出了一种新的称为variance tuning的方式来增强the class of iterative gradient based attack methods 并且提高了它们的攻击可迁移性。特别地,在每一轮梯度计算中,instead of 直接使用当前的梯度来进行momentum accumulati
CVPR2021 | VMI-FGSM & VNI-FGSM | 通过方差调整增强对抗攻击的可迁移性
最新发布
四口鲸鱼爱吃盐的博客
02-05 1993
本文 “Enhancing the Transferability of Adversarial Attacks through Variance Tuning” 提出方差调整(variance tuning)方法,提升基于迭代梯度攻击方法生成对抗样本的转移性,在多模型设置下集成方法攻击 9 种先进防御模型成功率达 90.1% ,显著优于当前最优攻击性能。
论文那些儿:《Admix: Enhancing the Transferability of Adversarial Attacks
weixin_46034490的博客
10-15 383
这是一篇2021年由华中科技、南洋理工、微软亚洲研究院发表在ICCV的一篇关于黑盒攻击的论文。本文作于2022年10月15日在这篇论文中,作者提出了一种名为Admix的新型输入转换方法,以可迁移性。具体来说,对于每个输入图像,作者随机从其他类别中抽样一组图像,并将每个采样图像的一小部分混合到原始图像中,以制作一组不同的图像,但使用原始图像标签进行计算。广泛的评估表明,Admix攻击方法可以比基于竞争性输入转换的攻击实现更好的对抗迁移性,同时在白盒设置下保持高攻击成功率。
论文笔记(四)《Admix: Enhancing the Transferability of Adversarial Attacks
qq_39667860的博客
03-14 716
《混合:增强对抗性攻击的可转移性》 一、abstract we propose a new input transformation based attack method called Admix that considers the input image and a set of images randomly sampled from other categories. Instead of directly calculating the gradient on the original inpu
face_adv 论文阅读 ——通过方差提高迁移性
qq_20260541的博客
06-09 450
face_adv 论文阅读 ——通过方差提高迁移性
[论文笔记]UNDERSTANDING AND ENHANCING THE TRANSFERABILITY OF ADVERSARIAL EXAMPLES(archive)
Invokar的博客
08-09 1441
UNDERSTANDING AND ENHANCING THE TRANSFERABILITY OF ADVERSARIAL EXAMPLES(archive) 文章简介 在本研究中,作者系统地研究了两类可能影响对抗性例子迁移能力的因素。 一是研究模型相关因素:network architecture, model capacity, test accuracy。 二是利用损失函数的局部光滑性...
【迁移攻击笔记】梯度平滑攻击!UNDERSTANDING AND ENHANCING THE TRANSFERABILITY OF ADVERSARIAL EXAMPLES
weixin_43916250的博客
11-25 1094
1.主要内容 ①研究了:网络结构、大小和精度,loss梯度的局部平滑性 对 迁移率 的影响。 ②提出了局部光滑方法:用各个点周围的梯度代替各个点本身的梯度。(防止边界过抖影响迁移率) 2.Introduction: ①对抗转移是不对称的,模型A生成的对抗实例很容易转移到模型B,反之可能不成立。(我觉得这一点很好解释,大边界到小边界很好转移,反之不行,不知道为什么作者说这一点说明边界相似性没法解释)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值