论文阅读笔记2——Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks

最新推荐文章于 2025-01-04 12:57:18 发布
原创 最新推荐文章于 2025-01-04 12:57:18 发布 · 3.4k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#对抗攻击 #CVPR2019

本文研究了如何绕过防御机制,实现对抗样本在不同模型间的高效转移。针对白盒攻击和黑盒攻击,提出了翻译不变攻击(Translation-Invariant Attacks)方法,通过计算平移图像的平均梯度来降低对抗样本对特定模型识别区域的依赖,从而增强对抗样本的转移性。这种方法结合了FGSM和BIM等攻击策略,同时引入了动量项和随机输入变换以进一步提升转移性。论文探讨了CNN的平移不变性,并提供了三种核矩阵选择策略,简化了计算过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

论文标题:Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks

论文链接:https://arxiv.org/abs/1904.02884

  • 关于对抗攻击:

白盒攻击(white-box attacks):在已经获取机器学习模型内部的所有信息和参数上进行攻击。已知给定模型的梯度信息生成对抗样本,如fast gradient sign method(FGSM),basic iterative method,Carlini & Wagner’s method。

黑盒攻击(black-box attacks):在神经网络结构为黑箱时,仅通过模型的输入和输出,生成对抗样本。

跨模型可转移性(cross-model transferability):对一个模型制作的对抗样本在很大概率下会欺骗其他模型。可转移性使得黑盒攻击(black-box attacks)能够应用于实际,并引发严重的安全问题(自动驾驶、医疗)。

生成的对抗样本与判别区域或白盒模型给定的输入点的梯度高度相关,而其他模型依赖于不同的区域做预测,这使得转移到其他防御模型很困难。

普通模型有相似的attention maps,防御模型会产生不同的attention maps。防御模型的辨别目标类别的识别区域(discriminative regions)与其他正常训练的模型不同,见图1。当用FGSM、BIM等已有模型生成对抗样本,只是对于单一的样本进行优化,因此会与识别区域或白盒模型在被输入数据的攻击点的梯度高度相关。对于另一个有着不同识别区域的黑盒模型,该对抗样本很难保持对抗性。

图1 采用类别激活图(class activation mapping)将三种普通模型以及四种防御模型的attentioin maps 可视化

Fast gradient sign method(FGSM):如图 1‑1,在输入的基础上沿损失函数的梯度方向加入了一定的噪声,使目标模型产生了误判。FGSM可以生成高转移性的对抗样本,但是对于攻击白盒模型,效率不高。

<
最低0.47元/天 解锁文章

200万优质内容无限畅学
强化学习与网络安全资源-论文和环境
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
05-14 297
【代码】强化学习与网络安全资源-论文和环境。
CVPR2019|最新更新论文~持续更新|CVPR2019百度云下载
热门推荐
王博(Kings)的博客
04-18 3万+
CVPR论文下载百度云链接:链接:https://pan.baidu.com/s/100OAXTIOTPoMjbi-dwOcxA 提取码:请关注【计算机视觉联盟】微信公众号,回复:CVPR2019 今天更新到2019年6月10号 目录 今天更新到2019年6月10号 目标检测、行人检测、视频超分辨等 FAIR工作、视频跟踪、人脸识别、动作识别 行人检测、图像生成、步态识别 目标...
ECCV 2024 | 清华等提出扰动生成器网络,用CLIP提升有目标对抗攻击迁移性
Paper weekly
07-25 921
介绍目前,以深度神经网络为基础人工智能技术被广泛用于许多安全关键领域,如自动驾驶、金融系统、人脸识别。然而,众多研究指出,深度神经网络容易受到对抗样本的威胁,恶意攻击者可以对图片添加一些人眼难以感知的扰动,从而改变模型输出,欺骗模型。现有研究表明,由白盒代理模型生成的对抗样本也能迁移欺骗其他未知的黑盒模型。然而,它们仅在无目标迁移攻击上表现较为良好。即由于过度依赖于白盒模型,这些方法在有目标黑盒...
论文那些事—Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks
shuweishuwei的博客
12-02 1014
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(TI-FGSM,CVPR2019) 1、摘要 在本文中,我们提出了一种平移不变攻击方法,以产生更多可转移的对抗样本对抗防御模型。通过优化平移图像的整体摄动,生成的对抗示例对被攻击的白盒模型不那么敏感,并且具有更好的可移植性。为了进一步提高攻击的效率,本文证明了我们的方法可以通过将未翻译图像的梯度与预定义的核进行卷积来实现。我们的方法
[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)
Invokar的博客
07-28 2727
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(2019 CVPR Oral) 文章简介: 本文的方法既可以untargeted attack,也可以targeted attack。 提出一种translation-invariant攻击方法,被攻击的白盒模型的识别区域不...
NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS (翻译,侵删)
bash_winner的博客
01-15 1170
NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS(Nesterov 加速梯度和缩放不变性攻击) 摘要 深度学习模型对于在良性输入的运用人类不可察觉的扰动所构造的对抗样本具有脆弱性。然而,在黑盒设置下,大多数已经存在的攻击攻击其他防御模型时,迁移性不足。在这篇文章中,从生成对抗样本作为一个优化的过程,我们提出了两个新的方法来改善对抗样本的迁移性,命名为 **Nesterov Iterative Fast Gra
【深度学习】平移不变性 (translation invariant)
JNing
12-18 2万+
【深度学习】平移不变性 (translation invariant)
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks (翻译,侵删)
bash_winner的博客
01-20 489
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks 利用平移不变攻击规避针对迁移性对抗样本的防御 摘要 深度神经网络对对抗样本具有脆弱性,通过添加不可察觉的扰动误导分类器。一个有趣的性质是他们的好的迁移性,是的在现实世界中很容易的进行黑盒攻击。由于对抗攻击的威胁,很多的方法被提出来改善鲁棒性。几个顶尖的防御被证明可以对于迁移样本样本具有鲁棒性。在这篇文章中,我们提出了平移不变性攻击方法来
ENSEMBLE ADVERSARIAL TRAINING: ATTACKS AND DEFENSES(ICLR 2018)
u013775900的博客
07-24 2216
ENSEMBLE ADVERSARIAL TRAINING: ATTACKS AND DEFENSES 后续工作(2020年4月新增) 从2017年NIPS对抗攻击防御大赛开始,许多后续工作提出了更复杂的黑盒的transfer-based 攻击。通过结合额外的优化技术(例如动量(Dong et al.,2018)、数据增强(Xie et al.,2019b;Dong et al.,2019)或残差网络“跳跃连接”的梯度(Wu et al.,2020)),这些攻击大大提高了对抗样本的可迁移性。 虽.
CVPR2019 | TIM | 通过平移不变性攻击规避对可迁移对抗样本的防御
四口鲸鱼爱吃盐的博客
01-04 1903
本文 “Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks” 针对防御模型对可迁移对抗样本的抵抗性,提出一种平移不变性攻击方法,通过对一组平移图像优化生成对抗样本,使其对被攻击白盒模型的判别区域不敏感,从而提高对防御模型的可迁移性,实验证明该方法能有效提升黑盒攻击成功率,暴露了当前防御技术的不安全性。
2020CVPR对抗样本相关论文整理(有开源代码)
ilalaaa的博客
11-29 4434
目录攻击防御物理 攻击 1. Towards Large yet Imperceptible Adversarial Image Perturbations withPerceptual Color Distance code链接 《朝向具有感知色差的大但不易察觉的对抗图像扰动 》 一般,用对抗效果和不可感知性来评估图像扰动的效果。其中,对于不可感知性的假设是,扰动要在RGB空间中达到严格的LpL_pLp​范数边界。在本论文中,作者通过采用一种人类色彩感知的方法来突破这一假设,即相对于感知颜色距离去最小
CVPR 2021 ImageNet 无限制对抗攻击 TOP 4 (Advers) 方案分享
gangyikeji的博客
08-12 544
深度神经网络已经在各种视觉识别问题上取得了最先进的性能。尽管取得了极大成功,深度模型的安全问题也在业内引起了不少担忧,举例来说,深度神经网络很容易遭受输入上微小和不可察觉的干扰导致的误分类(这些输入也被称作对抗样本)。除了对抗样本,在实际场景中,深度模型遇到的更多威胁来自于非限制扰动对抗样本,即攻击者在图像上进行大范围且可见的修改,使得模型误识别的同时不影响人的正常观察。
探索深度学习防御的极限:Translation-Invariant Attacks项目解析与应用
gitblog_00012的博客
06-17 402
探索深度学习防御的极限:Translation-Invariant Attacks项目解析与应用 在人工智能的前沿领域,特别是机器视觉中,对抗性攻击与防御的攻防战持续不断,而Translation-Invariant Attacks项目正是这场智慧较量中的新锐力量。本项目基于CVPR 2019的一篇重要论文,揭示了一种绕过现有防御机制的创新方法,其目标是生成更加难以被识别和抵御的转移性对抗样本。 ...
MI-FGSM代码及注释
weixin_57686258的博客
05-20 1203
MI-FGSM算法的完整代码
动量迭代快速梯度符号方法(Momentum Iterative FGSM,MI-FGSM)原理及实现
2840216705@qq.com欢迎学习交流
07-29 3065
而动量机制通过累积多次迭代的梯度信息,可以更全面地利用这些梯度信息,从而在更大范围内找到模型的弱点,增强对抗攻击的效果。而动量机制通过累积多个梯度信息,可以帮助模型摆脱局部最优解的困扰,更容易找到全局最优解或更好的局部最优解,从而生成更强的对抗样本。MI-FGSM 将动量引入到 FGSM 中,通过在每一步迭代中累积梯度的动量,生成更强的对抗样本。动量的作用是利用之前的梯度信息来增强当前更新的方向,从而提高对抗样本生成的效率。) 是之前( t )次迭代的累积梯度,即第 ( t ) 步的动量梯度。
【迁移攻击笔记】动量逻辑集成!MI-FGSM!Boosting Adversarial Attacks with Momentum
weixin_43916250的博客
11-25 5454
1.更新策略选择 ①optimization-based和多步方法IGSM:成功率高;转移性低。(可能“过拟合”or陷入局部最优) ②单步方法FGSM: 成功率低;转移性高。 所以用: MI-FGSM: 2.集成方式选择 MI-FGSM还不够,得利用集成网络来进一步提高成功率。利用的方式有3种待测试: ①输入softmax的logits ②softmax输出的prediciton ③计算得到的...
CVPR2018 | MI-FGSM | 利用动量增强对抗性攻击
四口鲸鱼爱吃盐的博客
12-31 2730
这篇文章 “Boosting Adversarial Attacks with Momentum” 主要介绍了一种基于动量迭代梯度的方法来增强对抗性攻击,提出了动量迭代快速梯度符号法(MI-FGSM),并通过实验验证了其有效性。
对抗攻击之SMI-FGSM:北航提出用"空间动量"提高对抗迁移性
我爱计算机视觉
03-31 1340
关注公众号,发现CV技术之美▊引言当前很多对抗攻击方法在白盒条件下都能达到非常高的攻击成功率,但在该条件下生成的对抗样本可迁移性较差。基于动量的攻击MI-FGSM 是提高对抗样本可迁移性的一种非常有效方法,它将动量项集成到迭代过程中,可以通过为每个像素添加梯度的时间相关性来稳定梯度的更新方向。在该论文中作者认为对抗扰动中只有这种时序动量是不够的,还需要引入图像中空间域的...
对抗样本(论文解读二): Transferable Adversarial Attacks for Image and Video Object Detection
Enjoy_endless
11-29 4315
准备写一个论文学习专栏,先以对抗样本相关为主,后期可能会涉及到目标检测相关领域。 内容不是纯翻译,包括自己的一些注解和总结,论文的结构、组织及相关描述,以及一些英语句子和相关工作的摘抄(可以用于相关领域论文的写作及扩展)。 平时只是阅读论文,有很多知识意识不到,当你真正去着手写的时候,发现写完之后可能只有自己明白做了个啥。包括从组织、结构、描述上等等很多方面都具有很多问题。另一个是对于专业术语、...
Evading Tricks 是什么
最新发布
02-14
### 定义 Evading Tricks Evading Tricks 是指在网络攻击过程中,为了绕过检测机制而采用的各种技术手段。这些技巧旨在使恶意软件或攻击行为避开安全防护措施,从而实现未授权访问、数据窃取或其他非法操作。 #### 应用场景 在网络安全领域,常见的逃避策略包括但不限于: - **混淆代码**:通过改变程序结构而不影响其功能来规避签名识别[^1]。 ```csharp string encryptedData = Encrypt(data); // 使用自定义加密算法处理敏感信息 ``` - **API Hooking**:拦截并修改目标应用程序调用的操作系统函数,以隐藏特定活动或篡改执行流程[^2]。 - **进程注入**:将恶意代码嵌入合法进程中运行,以此躲避基于进程名称或路径的安全监控工具[^3]。 #### 技巧实例 一种简单的加密解密方法可以作为基本的逃避手段之一,在传输或存储重要资料前对其进行转换,防止被轻易读取或分析。 ```python from cryptography.fernet import Fernet def generate_key(): key = Fernet.generate_key() with open("secret.key", "wb") as key_file: key_file.write(key) def load_key(): return open("secret.key", "rb").read() key = load_key() or generate_key() cipher_suite = Fernet(key) message = b"A really secret message." encrypted_message = cipher_suite.encrypt(message) decrypted_message = cipher_suite.decrypt(encrypted_message) print(f"Original: {message}") print(f"Encrypted: {encrypted_message}") print(f"Decrypted: {decrypted_message}") ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值