摘要:
近年来,对抗性攻击的研究成为一个热点。虽然目前的基于转移的对抗性攻击研究在提高对不可见黑箱模型的transferability取得了很好的成果,但仍有很长的路要走。受元学习思想的启发,本文提出了一种新的体系结构——元梯度对抗性攻击(Meta Gradient Adversarial Attack, MGAA),该体系结构是一种可插即用的攻击方法,可以与任何现有的基于梯度的攻击方法集成,以提高跨模型的transferability。
引言:
近年来,随着神经网络的快速发展,神经网络的可靠性逐渐受到越来越多的关注。神经网络对对抗性的例子非常敏感,即输入的不可察觉的扰动很容易欺骗模型,导致意外错误。例如,在使用人脸识别技术进行支付时,对人脸图像的轻微干扰可能会欺骗人脸识别模型,使其识别为其他人。由于攻击和防御是互补的两个方面,对抗性攻击的研究最终可以提高模型的鲁棒性,从而使模型更加可靠。XXXX当前研究概括。 尽管这些方法在黑盒攻击场景下取得了很好的效果,但是由于白盒模型和不可见的黑盒模型之间的差异,对抗性例子的可移植性仍然受到限制。
相关性工作:
一般根据可以获取的目标模型信息的多少分为四类:white-box attack, score-based
black-box attack, decision-based black-box attack和transfer-based black-box attack。
白盒攻击可以获取目标模型的所有信息,包括模型参数、模型结构(model structure)、梯度等;Score-based black-box attack攻击方法假设它们可以从目标模型中获得给定输入图像的分类概率; Decision-based black-box attack,只有来自目标模型的给定输入图像的预测类可用,这似乎比基于分数的黑盒攻击更困难;Transfer-based black-box attack无法获取目标模型的任何信息,这是最具挑战性的设置。
防御方法可分为五类: adversarial training, input transformation, randomization, model ensemble, and certified defenses. Adversarial training 基于生成的对抗性例子进行模型训练。Input transformation利用JPEG压缩,去噪,并在将图像输入到模型之前额外使用GAN模型。Randomization是指在输入例子或模型中加入随机噪声,使模型对对抗性例子更具鲁棒性。Model ensemble是指输出层中多个模型的集成。与单一模型相比,它可以减少对抗性例子中分布的影响。另外,一些工作证明了在特定的目标模型下,经过certified defenses model 可以确保对对抗性例子的鲁棒性。
方案介绍
算法过程具体介绍:
首先,从 M 1 , M 2 , ⋯ , M N {M_1},{M_2}, \cdots ,{M_N} M1,M2,⋯,MN个模型中,随机采样 n + 1 n+1 n+1个模型 M k 1 , M k 2 , ⋯ , M k N {M_k}_1,{M_{k2}}, \cdots ,{M_{kN}} Mk1,Mk2,⋯,MkN;
其次,计算n个模型的交叉熵损失,并计算这些模型的esmble 的梯度,如下,
迭代上述过程
K
K
K次,得到对抗样本
x
i
,
K
{x_{i,K}}
xi,K.
再次,在模型
M
k
n
+
1
{M_{kn+1}}
Mkn+1上计算
x
i
,
K
{x_{i,K}}
xi,K的交叉熵损失,得到对抗样本
x
i
,
m
t
{x_{i,mt}}
xi,mt
最后,为增强对抗样本的迁移性,在meta-test step 阶段中添加到
x
i
x_i
xi生成的对抗性示例中,以更新对抗样本:
以上过程的伪代码如下图所示
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
