对抗样本:ICLR 2022 基于积分梯度的对抗攻击(可迁移的黑盒攻击)Transferable Attack based on Integrated Gradients (TAIG)

TAIG:一种基于集成梯度的可迁移对抗攻击算法
最新推荐文章于 2025-02-11 09:48:06 发布
原创 最新推荐文章于 2025-02-11 09:48:06 发布 · 936 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#深度学习 #python #机器学习 #对抗样本

论文提出了TAIG方法,结合优化目标、注意力图和决策面,用于生成高迁移性的对抗样本。尽管实验中显示计算成本较高且攻击效果略逊于最新顶会论文,但TAIG在与现有方法协同工作时表现出色,特别是在白盒和黑盒攻击场景下。

文章目录

感受:该论文提出的攻击算法,在实验中特别费时间,每一次迭代需要循环N次(N为batch_size的大小),因此需要消耗大量的时间去生成对抗样本。此外,用该论文的方法与2022年几篇顶会论文对比。发现该算法在白盒以及黑盒上的攻击表现都稍微低于其他顶会的攻击算法。
相对于经典的IFGSM、MIFGSM算法 有显著的提高。此外,结合的多种数学知识。作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的 TAIG。实验结果表明,论文中提出的方法生成了高迁移性的对抗样本,并且可以与以前的方法进行无缝协同工作,而且 TAIG 的性能优于现有的方法。

论文链接:

https://arxiv.org/abs/2205.13152

代码链接:

https://github.com/yihuang2016/TAIG

参考论文概述
https://blog.youkuaiyun.com/c9Yv2cf9I06K2A9E/article/details/125288718

代码

#Transferable Adversarial Attack Based on Integrated Gradients (ICLR 2022) 该论文训练时间超级长
#TAIG-S 以及TAIG-R  后者表现最好
def compute_ig(inputs,label_inputs,model):
    steps = 20
    baseline = np.zeros(inputs.shape)
    scaled_inputs = [baseline + (float(i) / steps) * (inputs - baseline) for i in
                     range(0, steps + 1)]
    scaled_inputs = np.asarray(scaled_inputs)
    r_flag = True  # 等于False时 为TAIG-S
    if r_flag==True:
        # This is an approximate calculation of TAIG-R
        scaled_inputs = scaled_inputs + np.random.uniform(-epsilon,epsilon,scaled_inputs.shape)
    scaled_inputs = torch.from_numpy(scaled_inputs)
    scaled_inputs = scaled_inputs.cuda().
最低0.47元/天 解锁文章
【简易的黑盒对抗攻击】Simple Black-box Adversarial Attacks
风口IT猪的成长录
09-26 923
在计算机视觉领域,对抗攻击adversarial attack)旨在通过向图片中添加人眼无法感知的噪音以欺骗诸如图像分类、目标识别等机器学习模型。如下图所示,输入原图像,图像分类器给出的结果为“是熊猫的概率为57.7%”,而在给原图像加上一段噪音后,结果变成了“是长臂猿的概率为99.3%”,但对于人类来说,这两张图片几乎是一模一样的。经噪音干扰后的图像被称为对抗样本对抗攻击的主要研究内容之一就是如何获得这种噪音来生成对抗样本
机器学习HW10对抗性攻击
Raphael9900的博客
01-01 2017
HW10
对抗攻击论文笔记】对抗迁移性:Delving Into Transferable Adversarial Examples And Black-Box Attacks
ji_meng的博客
05-29 6272
摘要: 以前的工作主要研究使用小规模数据集的可迁移性。在这项工作中,我们是第一个对大型模型和大规模数据集的可迁移性进行广泛研究的人,我们也是第一个研究目标对抗样本及其目标标签的可迁移性的人。我们研究了非目标对抗样本和目标对抗样本,并表明虽然可转移的非目标对抗样本很容易找到,但使用现有方法生成的目标对抗样本几乎不会随目标标签一起转移。因此,我们提出了新的基于集成的方法来生成可转移的对抗样本。 1.介绍 主要贡献: 对于 ImageNet 模型,我们表明,虽然现有方法可以有效地生成非目标可迁移对抗样本(第 3
ICLR 2022 | 基于积分梯度迁移对抗攻击
Paper weekly
06-14 1212
©PaperWeekly 原创 ·作者 |鬼谷子引言该论文是关于黑盒对抗攻击的工作。论文中作者提出了一种基于积分梯度的可迁移攻击算法(TAIG),该算法可以生成高可迁移性的对抗样本。作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度TAIG。实验结果表明,论文中提出的方法...
对抗攻击与防御(2022年顶会顶刊AAAI、ACM、 ECCV、NIPS、ICLR、CVPR)adversarial attack and defense汇总
算法探索之路
03-19 6177
2022年 关于对抗攻击跟防御的全部顶会、顶刊论文
基于梯度黑盒迁移对抗攻击(附代码)
欢迎来到道的世界
08-06 4665
黑盒迁移攻击对抗攻击中非常热门的一个研究方向,基于动量梯度的方法又是黑盒迁移攻击的一个主流方向。当前大部分研究主要通过在数据样本的尺寸,分布,规模,时序等方面来丰富梯度的多样性,使得生成的对抗样本迁移到其它的模型攻击时,能够有更高的攻击成功率。本文会介绍最近几年有代表性的黑盒迁移攻击的论文,这些论文的方法经常会被当成论文比较的baseline。我对论文中涉及到一些数学结论进行补充证明,大部分论文中给出的源码是tensorflow的,我又根据论文的算法流程图用pytorch对论文的核心方法重新编程了一下
对抗样本可转移性与黑盒攻击_学习笔记
热门推荐
Erpim的博客
09-07 1万+
1 
繁凡的对抗攻击论文精读(三)ICLR2019 利用先验知识进行高效黑盒对抗攻击的 bandits 算法(MIT)
繁凡さん的博客
04-20 2952
繁凡的对抗攻击论文精读(三)ICLR2019 利用先验知识进行高效黑盒对抗攻击的 bandits 算法(MIT)
CVPR2020 | ATA | 通过注意力提高对抗样本的可迁移
四口鲸鱼爱吃盐的博客
01-08 1458
本文 “Boosting the Transferability of Adversarial Samples via Attention” 提出了一种注意力引导的转移攻击(ATA)策略,通过计算模型对提取特征的注意力来规范对抗样本的搜索方向,从而提高对抗样本在不同模型间的可转移性。实验表明,ATA在攻击未防御和防御模型时表现优异,显著提升了BIM的攻击成功率,且生成的对抗样本扰动难以察觉。此外,ATA与其他转移攻击算法兼容,能进一步提高攻击成功率,为评估深度模型的安全性提供了更有效的手段,在黑盒攻击场景下
从数据分布的角度提高对抗样本的可迁移
欢迎来到道的世界
12-08 3039
 对抗迁移攻击一般是先通过代理模型生成对抗样本,然后将该样本迁移到其它黑盒模型中进行攻击,对抗迁移性的根本原因目前仍有待于探究。以前的工作主要从模型的角度探讨原因,例如决策边界、模型架构和模型容量等。在该论文中,作者从数据分布的角度研究对抗样本的可迁移性,其核心思想是针对于无目标攻击,将图像移出其原始分布会使不同的模型很难对图像进行正确分类。针对于有目标攻击,则是将图像拖入目标分布会误导模型将图像分类为目标类。因此作者提出了一种通过操纵图像的分布来生成对抗样本的新方法。实验结果证明了所提出方法的有效性。
[论文阅读笔记]Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(CVPR)
Invokar的博客
07-28 2768
Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks(2019 CVPR Oral) 文章简介: 本文的方法既可以untargeted attack,也可以targeted attack。 提出一种translation-invariant攻击方法,被攻击的白盒模型的识别区域不...
本地搜索攻击算法详解——DNN的黑盒对抗性扰动方法
qq_40479372的博客
06-29 1226
基于对抗的测试输入生成方法是从机器学习深度学习的角度入手,通过向原始样本添加微小扰动的方式产生对抗样本,使DNN系统进行错误分类。其又分为白盒、灰盒和黑盒攻击,顾名思义,黑盒攻击就是在无法获取模型内部结构信息的情况下,仅通过模型的输入输出来生成对抗样本。本次讲解黑盒攻击的一个经典代表算法——本地搜索攻击算法(论文:《Simple Black-Box Adversarial Perturbations for Deep Networks》)
论文学习:Feature Importance-aware Transferable Adversarial Attacks
weixin_42570231的博客
08-05 1391
基于迁移性的黑盒攻击首先利用gradient aggregate获取迁移性更好的梯度信息,本文中认为梯度信息代表了该点的feature importance,然后通过抑制比较重要的feature,增强不重要的feature,来干扰模型最终的判断。...
黑盒攻击(为什么选择基于迁移攻击
算法探索之路
06-24 3462
总之,黑盒攻击是在缺乏目标模型完全内部信息的情况下进行的攻击,基于观察模型输入输出的行为进行推断和攻击。基于查询的攻击:基于查询的黑盒攻击通过向目标模型发送一系列特定的查询来获取模型的输出,然后利用这些输出信息进行攻击。基于迁移攻击:基于迁移黑盒攻击利用已知模型或数据集的信息来攻击目标模型。综上所述,选择基于迁移黑盒攻击可以更好地适应模型不可知性的情况,利用已有数据进行攻击,提供更贴近实际场景的评估。基于迁移攻击可以利用已知模型的特性和行为来推断目标模型的性质,从而更有效地进行攻击
CVPR2021:对抗变换提高对抗样本的可迁移
欢迎来到道的世界
11-10 4122
方法介绍 问题定义  令xxx表示的是一个干净样本,其真实标签为yyy。深度学习分类为f(x)f(x)f(x),输出的是一个概率向量。生成对抗样本xadvx^{adv}xadv的优化公式如下所示:arg⁡max⁡f(xadv)≠ys.t.∥xadv−x∥p≤ϵ\begin{aligned}&\arg\max f(x^{adv}) \ne y\\ &\mathrm{s.t.}\quad \|x^{adv}-x\|_p \le \epsilon \end{aligned}​argmaxf(xad
应用转移的黑盒攻击(Transferability in Machine Learning: from Phenomena toBlack-Box Attacks using Adversarial
a2333333_的博客
03-14 1502
本文介绍了一种黑盒攻击方法,详细介绍了作者提出的三亮点:水库采样,周期步长以及Jacobian-based数据增强
ICLR2022 | TAIG | 基于积分梯度的可迁移对抗攻击
最新发布
四口鲸鱼爱吃盐的博客
02-11 1613
本文 “Transferable Adversarial Attack Based On Integrated Gradients” 提出基于积分梯度的可转移对抗攻击算法(TAIG),将三种常用的对抗样本生成方法集成到一个简单的算法中,实验结果表明该算法在黑盒攻击中表现优异。
CVPR2019 | DIM | 通过输入多样性提高对抗样本的可迁移
四口鲸鱼爱吃盐的博客
01-01 2270
本文 “Improving Transferability of Adversarial Examples with Input Diversity” 提出了通过输入多样性来提高对抗样本迁移性的方法,将随机变换融入攻击过程,显著提升了黑盒模型的攻击成功率,同时保持白盒模型的高成功率;结合动量项和攻击网络集成进一步增强攻击效果,在NIPS 2017对抗竞赛复现实验中表现优异,为评估网络鲁棒性和防御方法有效性提供了强基准,推动了对抗样本相关研究的发展。
对抗样本学习02-基于梯度对抗样本生成算法
我的博客
12-27 1153
用原始图像初始化对抗样本,通过损失函数计算梯度,根据FGM算法迭代更新对抗样本,直到满足最大迭代次数,或者对抗样本预测值达到预期为止。使用快速梯度符号算法(FGSM: Fast Gradient Sign Method)生成对抗样本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值