没有合适的资源?快使用搜索试试~ 我知道了~
1030基于决策的对抗性噪声的自定义采样优化史玉成1、2,韩亚红1、2,齐田31天津大学智能与计算学院2天津大学机器学习重点实验室3华为诺亚{yucheng,yahong}@ tju.edu.cn,huawei.com摘要作为一种有效的黑盒对抗攻击,基于决策的方法通过查询目标模型来抛光对抗噪声其中,边界攻击由于其强大的噪声压缩能力而被广泛应用,特别是当与基于转移的方法相结合时。Boundary at-tack将噪声压缩分为几个独立的采样过程,使用恒定的采样设置重复每个查询。在本文中,我们展示了使用当前噪声和历史查询来自定义边界处采样的方差和均值以抛光对抗性噪声的优点。进一步揭示了边界攻击中初始噪声与压缩噪声之间的关系我们提出了自定义对抗边界(CAB)攻击,使用当前噪声来模拟每个像素的敏感性,并使用自定义的采样设置来抛光每个图像的对抗噪声。一方面,CAB使用当前噪声作为先验信念来定制多元正态分布。另一方面,CAB使新的采样远离历史失败的查询,以避免类似的错误。在多个图像分类数据集上的实验结果表明了该方法的有效性。1. 介绍对抗性例子[29,22]揭示了深度神经网络(DNN)的内在脆弱性。根据攻击者在黑盒攻击中,攻击者只能查询目标模型并得到硬标签预测,而无法获得目标模型的完整知识。基于传输的攻击[13,18,8,9,25],基于决策的攻击[32,10,2,25],和基于零阶光学的攻击mization [5,20,31]是三种主流的黑盒攻击。*通讯作者。其中,基于决策的攻击通过在原始图像的输入空间中进行随机搜索来滤除噪声。它既不需要像基于转移的攻击那样使用替代模型,也不需要像零阶优化那样对目标模型进行彻底的查询,并且在有限的查询下可以产生相对较小幅度的最近的一些研究[2,1,7]表明,基于传输的攻击和基于决策的攻击的组合实现了最先进的黑盒攻击效果。构造对抗性样本并不是简单地欺骗DNN,而是定量地评估目标模型的鲁棒性。通过不断完善对抗扰动,我们可以逐步实现对误分类的最小噪声幅度的准确评估。对于一个图像分类器来说,对每幅图像进行误分类所需的最小噪声、一次攻击过程中每个阶段的合理查询方向,甚至图像中每个像素的敏感度都是不同的[11]。因此,准确评估一个目标模型的鲁棒性需要定制每个图像及其攻击过程。白盒攻击通过反向传播直接对像素和类别之间的相关性进行建模[13,3]。对于黑盒攻击,攻击者可用的唯一线索是历史查询,这是每个像素的噪声敏感度的无偏表征然而,大多数现有的基于决策的攻击[1,2]使用独立于历史查询或当前噪声的恒定采样设置,这严重阻碍了噪声抛光的效率。基于决策的攻击中的失败采样包含决策边界的位置信息[12]。虽然失败的采样,即,样本属于真实类别,不能直接用于压缩噪声,它们描绘了在决策边界上具有更大概率的方向。由于我们希望尽可能多的样本落在决策边界的另一侧,因此此信息可用于自定义采样过程,并使新样本远离具有高故障概率的方向但现有的基于决策的攻击总是在一个恒定的分布上进行采样,并且在攻击过程中从不改变采样1031′“教堂”“书桌”~ࢠכ失败的采样“church”ככ~“教堂”“书桌”כࢠᇱڄכࢠڄכ=.כ=.ᇱ=(a) 方差自定义(b)均值自定义(c)样本和抛光图1. CAB攻击流程图。蓝色曲线表示“教堂”和“办公桌”类别之间的决策边界。在每个图中,绿色圆圈和黑点分别代表原始图像和当前对抗示例。 (b)中的黄色十字架是一组历史性的∗failedsamplingsxfailsamplings. CAB自定义(a)中电流噪声z的正常分布的变化及其相反方向的平均值在(b)中的历史失败样本− η。 然后CAB对定制的分布进行随机抽样,形成球面方向。最后,球面((c)中的黄色箭头)和源方向(红色箭头)组合在一起,形成了(c)中的抛光对抗示例x攻击过程。此外,在现有的基于决策的攻击中,单步修改的步长也是恒定值。随着噪声幅度的减小,查询成功率将逐渐降低,并且在步长不变的情况下,噪声抛光的效率将进一步受到影响。本文指出,为了使一步边界攻击后的噪声幅值最小,多元正态分布的方差应与电流噪声的绝对值线性相关,如图1所示1(a),而不是对每个维度使用单位方差此外,我们分析了基于转移攻击的初始化对抗噪声的优势,通过噪声压缩的单调性基于噪声压缩的这一特性,我们调整了步长定制策略在当前噪声和历史查询的指导下,我们提出了定制对抗边界(CAB),一种基于决策的攻击根据每个像素的噪声敏感度定制采样分布。CAB通过历史不合格样本定制采样差异的平均值,如图中的黄色十字所示。第1段(b)分段。以这种方式,新样品被引导远离具有高故障率的方向对 Imagenet [24] 、 Tiny-Imagenet [1] 、 MNIST [19] 和CIFAR-10 [17]的实验表明,在相同的查询限制下,CAB实现了比其他基于决策的攻击更小的中值噪声幅度。我们将我们的贡献总结如下:(1) 我们指出,为了最大化噪声抑制期望,边界点采样的方差应与当前噪声成正比。(2) 基于边界攻击中噪声压缩的单调性,改进了其步长调整,并采用基于转移的攻击自定义初始噪声。(3) 我们开发了CAB,一种基于决策的攻击,利用当前噪声和失败样本定制采样过程中的正态分布。在多个数据集和模型上的大量实验表明,CAB的性能优于其他基于决策的攻击。2. 相关工作当无法访问目标模型的梯度时,基于转移的攻击、基于决策的攻击和基于零阶优化的攻击给出了三种不同的黑盒场景解决方案本文主要讨论前两种方法及其组合。2.1. 基于传输的攻击基于转移的攻击通过利用替代模型和目标模型之间的可转移性来欺骗DNN [21]。基于转移的攻击的效果可以受到目标模型的集成对抗训练[30]的影响。更合理的策略是将黑盒攻击分为两个阶段:首先通过基于转移的攻击生成对抗性示例作为起点,然后通过基于决策的攻击进一步压缩其冗余噪声[25,2]。2.2. 决策攻击基于决策的攻击在原始图像的邻域中进行采样,以寻求较小的噪声幅度,而不跨越决策边界。基于决策的攻击不依赖于替代模型,而是使用各种策略来找到对抗性的例子。大多数基于决策的攻击都需要一个已经被错误分类为起点的初始对抗性示例。下面介绍几种最乳清优化乳清优化[25]将对抗性噪声分为几组以降低噪声幅度。1032∗−∗2002年2月ǁηǁ2∗2∗2 ∗2∗ ∗∗ǁηǁ2∗ ′′ǁηǁ2N不ǁηǁ2x−xǁηǁ22和z+z,其中1−N222ηx−xε∗∗ǁηǁ2乳清蛋白的贪婪搜索过程经过多次压缩、约简和优化后趋于局部最优可以等价地重新表述为:后期搜索效率。边界攻击。 [32]第32话开始minz1000 + 1000,s.t. F(x)F(x+z<$+z),(3)对抗示例和沿两个方向同时搜索,θ,即球面方向和震源方向:请注意,在对抗性示例被目标错误分类的前提下,计算了102xt+1=xt+δ·ηǁηǁ +ε·x−xtx−x,η<$N(0,I)(1)模型选择2范数作为距离度量,因为它可以更准确地描述[11]一个模型比一个模型更接近于一个范数其中xt是在边界攻击的t步之后具有最小噪声的对抗性示例η和(x xt)分别是指球面方向和源方向δ为球面方向的步长,ε为震源方向的步长。由于边界攻击对每一个维度都采用标准正态分布,无法评估和利用像素之间的噪声敏感性差异。有偏见的边界攻击有偏见的边界攻击[2]用Perlin替换边界上的正态分布分布,集中在低频域,3.2. 方差和降噪在本节中,我们将正式证明,当采样中正态分布的方差与当前噪声的绝对值线性相关时,降噪的期望值最大。考虑边界攻击的一步噪声更新∗在等式中 (1),我们将z重写为δ·+ε·,并且(1-)为α。 由于x-x =-z,我们有z+z留出空间,使对抗性示例更进化攻击进化攻击[10]通过双线性内插来降低采样空间的维数=z+δ·ηǁηǁ2+ε·z*−z插值和将噪声限制在图像的中心部分。进化攻击在涉及强先验知识的任务中表现得更好,如人脸识别。=α·z+δ· ηǁ.ηη=α·z2+2·δ·α·(z·)+δ·2还有一些其他的攻击涉及零阶光学,mization [5,20,31,4,6].他们主要是针对黑-ǁηǁ2ǁηǁ2可以获得或者具有相对充足的查询预算。本文主要其中·表示标准内积。由于z∈,ε和δ都是固定的,ǁδ·η 2 (3)是仅讨论具有有限查询的黑盒场景,并且目标模型仅输出硬标签。3. 该方法3.1. 符号考虑黑盒攻击下基于DNN的目标模型:F:XN→Y C,其中X表示内部原子。放置空间,N为尺寸(N=宽度×高度×实际上是为了使z最小化·η- 是的 通过柯西-施瓦茨我们的-z2·η2≤z ·η≤z2·η2(4),其中β=η,这产生z+z≥ <$α·z<$−2·α·δ·(<$z <$2·<$β<$2)+<$δ·β<$图像数据的通道),Y表示分类。2 2=(α·z2−δ·β2)2C类空间。假设x是一个对抗性的最小的噪声幅度,我们已经发现。=z.+z<$2≥. 公司简介.2−基于决策的攻击的目标可以描述为:maxx− x −x −x,s.t.F(x)/= F(x),(2)当z ∈ R +时,等式成立。换句话说,总噪音幅值在以下边界后为x′粘性最小化时,方向η和电流其中x和x′分别表示原始图像和在该步骤之后生成的新的对抗性示例。我们将对抗性例子x和x′替换为噪声Z是完全相反的。 假设η(0,n)是N维随机向量,其遵循具有零均值和协方差矩阵的正态分布,σ2,···,σ2)(在边界攻击中,Σ = IN)。每个22原始图像x和对抗性噪声,z22∗1033ǁηǁ2我z和z分别是具有最小幅度的当前对抗性噪声和在该步骤之后添加的噪声η的元素是一个单变量正态分布,平均值为设置为零,以便更好地探索采样空间[10]。由于x和x是固定的,则等式中的目标函数。(二)由于β=η且βi=η,ηiη2+···+η2 . β2的比率I N1034ǁ ǁ我△ ǁ ǁ12≤ △ǁ ǁ12△12N121212NAdv−△ ≤ ≤ △0的情况。60的情况。40的情况。2000的情况。20的情况。104 0针对这一特点,在边界攻击中采用自定义步长的策略根据[11]中的设置,我们将ρF,x(λ)表示为目标模型F在一定范围内的误分类概率。4dom点与原始图像x的距离为λ:ρF,x(λ)=Pz<$λS{F(x)F(x+z)}(5)x10x2x10x2其中λS表示球面上的一致测度,(a)(b)第(1)款图2.当N=2时,σ1:σ2 = 3:1(a)和σ1:σ2 =1:1(b)的z分布。期望满足E(β2):E(β2):· · ·:E(β2)以0为中心,半径为λ的面。换句话说,点集满足z2=λ。由于误分类的风险通常随着与原始图像的距离增加而增加,因此我们假设ρF,x(λ)(缩写为ρ(λ))增加单调地,λ在一定范围内△adv(x;F)≤λ≤ △unif,F(x;F):<$λ1,λ2∈[△adv(x;F),△unif,<$(x;F)],λ≥λ→ρ(λ)≥ρ(λ)=E(η2):E(η2):· · ·:E(η2)作为 定义 在[11]中,△ (x;F) 表示 这条河=V ar(η1):V ar(η2):···:Var(ηN)=σ2: σ2:···: σ2全局最小对抗扰动的范数,导致分类错误。 和△unif,f(x;F)表示1 2N作为一种拒绝采样[12],边界at-tack将仅在关于一个采样的噪声降低大于零时查询目标模型,即,zθ·η≤0.因此,新的噪音的期望。se. 一步后的x′当σ i ≥时,边界攻击最小。z. ,1 ≤ i ≤ N。为了更直观地显示σ对降噪的影响,我们在图中可视化了x′在二维空间中的分布。2.蓝色矢量表示x=F对随机均匀噪声的鲁棒性。 为了简单起见,我们假设在基于决策的攻击中的b步查询之后,待查询的对抗示例x'的噪声幅度服从从adv(x;F)到当前最小噪声幅度z2的均匀分布。命题1假设误分类概率ρ(λ)在一定范围adv(x; F)λunif,<$(x;F)内随λ单调增加。对于原图象x的任意两个反例x′和x′,如果其相应的(3,1)。红色标记表示正态分布下1000次采样后x′的分布,σ1:σ2=3: 1(a)σ_1:σ_2=1: 1(b)以(3,1)为中心。 越深红色的,密度较大的样本在附近。x1=0和x2=4处的黑线图分别是x2和x1的独立概率分布P当二维方差比σ1:σ2=x:x,x′con-响应噪声幅值满足△adv(x;F)≤λ2<λ1unif,n(x;F),一步基于决策的攻击后的期望噪声幅度满足E(λ2)0Q2λ111:W←[ ],s←0;从命题1,我们表明,在假设下,误分类概率单调增加的距离从原始图像,一步后的期望噪声幅度也单调增加基于决策的跟踪过程满足无记忆性,即,当前噪声仅由最后步骤[32]的噪声确定。因此,噪声压缩的单调性在多个步骤中满足传递性。换句话说,当使用相同的基于决策的攻击并查询目标模型相同的时间时,预期的最终噪声幅度为正2:对于1中的b到b,3:如果W/=0,则4:z<$x <$<$−x;5://示例调用自定义的正态分布;6:η(ηπ,z )的方式S. t.ηW;7:其他8:η(0,z<$2);9:如果结束10://在z中具有最大绝对值的像素;11:H(z,r)=a rgmaxz<$$>z<$,|z|/|z*|=rz∈z<$z;12:根据等式11通过H构造T。(10);′ ∗ηz∗与初始噪声幅度相关。这说明了在黑盒系统中结合基于转移的攻击和基于决策的攻击的有效性。基于决策的方法如边界攻击使用随机噪声作为初始噪声,其幅度远大于基于转移的攻击产生的噪声,因此在相同查询次数下,最终噪声也较大。我们遵循这种黑盒攻击设置,使用基于传输的攻击生成的对抗性示例作为基于决策的攻击的起点。此外,随着噪声幅值的不断压缩,当方程n中的步长δ和ε增大时,对新查询产生误分类的可能性将逐渐减小(1)对于球面和震源方向保持不变。为了补偿查询成功率的下降,我们引入指数调度来动态地自定义两个方向上的步长:δs=δ0s ,εs=ε0s ,(8)其中s表示到目前为止成功查询的数量,δs和εs分别为球面和震源方向成功查询后 δ0和ε0是初始步长。 (0,1)是步长调度的衰减因子。作为最近的对抗性示例和原始示例之间的距离,13:x=x +T·(δs·εη<$2−εs·εz<$2);14:如果y F(x′),则15://采样成功,噪声被压缩;16:x<$←x′,W<$[];17:s s+ 1,δsδs−1<$,εs=εs−1<$;18:其他19://采样失败,更新采样失败集合;20:W=W η;21:如果结束22:结束二十三: 返回x′。噪声抛光效率。进化攻击[10]通过双线性插值和将对抗性噪声限制在图像中心来减少采样空间通过相对位置区分像素对噪声的敏感性对于具有单一结构的图像(例如,人脸识别图像)或小尺寸,但不适用于更大和更复杂的图像。与[10]中的人工规则相比,电流噪声z是因此,我们只调整当前噪声幅度已经很大的像素上的噪声Σ缩短了最终图像,也减小了新查询的步长H(z,r)= arg maxz z,|z|/|z*|=rz∈z|、(9)|,(9)降低 这种指数调度策略平衡了噪声压缩率与查询成功率,使步长定制不同的图像和一个图像的不同查询阶段。Ti=.1,如果z∈H,0,否则。(十)3.4. CAB攻击对于在大输入空间中随机搜索的边界攻击,减小采样空间对于其中z是z中具有最大绝对值r的像素的集合(0,1)是z和z中的pi x el数的比值。具体来说,我们根据比率r挑选z中具有最大绝对值的像素,并形成掩模T,−1037× ××××过滤掉新噪音中不太敏感的区域在当前噪声的指导下,CAB攻击根据3.2节和图3的结论自适应地分配各维正态分布的方差比。2、选取对噪声最敏感的区域进一步缩小采样空间。这两个过程都利用了历史上成功的采样。虽然现有的基于决策的攻击直接丢弃失败的采样,但它们实际上包含关于决策边界的信息我们修改下一个样本的分布1ΣK4.2.攻击效果我们在表1中报告了使用不同基于决策的攻击的中值噪声幅度的比较第一行中示出了初始噪声的0.02表中的最后五行表示在五种不同的基于决策的攻击下的中值噪声幅度。两列表示两个数据集,Tiny-Imagenet(左)和Imagenet(右)。对于每个数据集的四个模型,我们使用Curls [25],一种最先进的基于转移的迭代方法,来攻击每个替代目标模型对,并输入生成的对抗性示例作为基于决策的攻击的起点6×2表中的每个元素都是一个4×4矩阵,其中每个η<$(−Kj=1ηj,z2),行表示Curls方法使用的替代模型并且每一列表示目标模型。因此,埃尔-S.T.F( x)+δ·η˜ǁη˜ǁ2+ε·x−x*x−xf(x)=F(x),对角线上的元素实际上是抛光噪声的结果白盒攻击设置中的量级。在相同的查询量下计算每种攻击方法的mid其中,K是当前对抗示例x的失败采样总数,ηj是第j次失败采样时使用的正态随机向量 我们维护对抗示例的采样记录,并保存关于当前对抗示例的所有失败的采样。记录被不断地更新,直到发生成功的采样,即,噪声被进一步压缩。由于在决策攻击的后期,采样的成功率随着噪声幅度的降低而降低,因此保持记录可以使新的采样远离历史失败的采样。算法1详细描述了CAB攻击。4. 实验4.1. 设置CAB攻击在Tiny-Imagenet [1]和Imagenet上进行了测试[24]图像大小为64的数据集643和224224 3,分别。在实验中,我们将对抗性噪声添加到Imagenet和Tiny-Imagenet的验证集,分别包含50000和10000个图像,并输入到八个不同的目标模型:[14]第 一 次 世 界 大 战 期 间 , 苏 联 解体 , 苏 联 解 体 , 苏 联 解 体 , 苏 联 解 体 。101、Dense-161[16]、VGG 19 [26]和SENet-154 [15]。至于评估标准,我们通过中值噪声幅度将CAB与其他攻击进行比较:mid= median({x′− x<$2|x ∈ X}),(11)其中x是测试集X中的原始图像。x′是找到的最接近x的对抗性示例。较小的中值噪声幅度表明该攻击方法可以在相同数量的查询下更好地抛光对抗性噪声。值得注意的是,对抗性示例在输入到目标模型之前进行了舍入,以获得更真实的黑盒攻击设置。B=300像素留存率r=0。两个是我们的驾驶室。 球面方向和震源方向的步长为δ0=0。1,ε〇=0。003用于边界攻击、有偏边界攻击、进化攻击和CAB攻击。衰减因子λ设定为0.99。对于BBA [2],我们使用的版本在每一步都包含来自替代模型的从表1中可以看出,CAB在所有黑盒攻击上具有相同数量的查询,或者在每个4 × 4矩阵中的非对角元素的情况下,在不同的目标模型上实现了与边界攻击相比,CAB算法的中值噪声幅值显著降低,验证了用当前噪声和失效样本对分布进行plings.由于白盒噪声(每个4×4矩阵中的对角元素)的幅度往往相当小(小于1/10的黑盒噪声在2002范数),所使用通过边界,在标准正态分布上对每个维度均匀采样更合适。结果表明,CAB在Imagenet上的白盒噪声幅度略大于Boundary。4.3. 消融研究最大查询次数B是CAB中的关键参数。我们使用inc-v3作为替代模型,res-18作为三种不同的基于传输的攻击的目标模型,Curls [25],I-FGSM [18]和VR-IGSM[33],以生成初始的对抗性示例。噪声幅值随B增加的曲线如图所示。3.较高的B为基于决策的攻击提供了更多微调对抗噪声的机会。可以看出,在不同的查询次数 下 , CAB 的 噪 声 幅 度 低 于 其 他 方 法 。 我 们 在Imagenet上以Densenet161为目标模型记录了每种方法的时钟时间效率Boundary和CAB查询每幅图像300次所需的平均时间分别为15.31s和13.39sCAB的效率得到了提高,因为它避免了采样空间,1038222乳清边界偏置边界演化CAB微型图像网络ImageNetres-18 inc-v3 纳斯内增量res-101 密集 vgg-19侦察机res-180.0761.6171.8332.002 res-1010.3253.0603.2324.367inc-v30.5100.1241.1371.216密集2.7770.2693.1124.241初始增量分辨率0.5521.0830.1471.088VGG-196.0506.0340.1835.135nasnet0.5771.2721.1990.134Senet3.0135.1936.1410.413res-180.0711.1401.2501.342 res-1010.3152.8682.7853.836inc-v30.3600.1210.8650.909密集2.6950.2622.6273.737乳清增量分辨率0.3690.7960.1420.819VGG-195.1494.9960.1804.333nasnet0.4010.9270.9060.129Senet2.7084.5295.1010.393res-180.0591.2201.3861.467 res-1010.2792.9822.9044.092inc-v30.3840.1101.0011.041密集2.7130.2312.6833.949边界增量分辨率0.3790.9230.1340.949VGG-195.3955.1610.1554.646nasnet0.4211.0241.0520.120Senet2.7384.6955.7610.360res-180.0721.1291.2831.358 res-1010.3182.5862.7043.745inc-v30.3080.1220.8900.912密集2.4410.2632.4963.542偏置边界增量分辨率0.3250.8130.1440.829VGG-194.7764.4020.1814.133nasnet0.3320.9280.9240.132Senet2.6934.1194.9530.397res-180.0680.9511.1121.147 res-1010.3102.5182.3733.217inc-v30.2690.1170.8810.851密集2.3940.2562.2533.128进化增量分辨率0.2920.7610.1380.797VGG-194.1124.0360.1763.442nasnet0.3010.8490.8880.126Senet2.5693.7304.6440.386res-180.0580.9350.9291.030res-1010.2902.3871.9533.116inc-v30.2630.1090.6920.733密集2.2940.2362.0253.051驾驶室增量分辨率0.2510.6890.1310.682VGG-193.9823.7300.1573.413nasnet0.2840.7570.7260.119Senet2.2873.5884.4490.366表1.针对两个数据集上目标模型的五种基于决策的攻击的中值噪声幅度0的情况。400的情况。400的情况。400的情况。200的情况。000 20400的情况。200的情况。000 20400的情况。200的情况。000 20 40卷曲后查询数量B(×10)I-FGSM后查询数量B(×10)VR-IGSM后查询数量B(×10(a)(b)(c)图3. Tiny-Imagenet上不同查询数B下对抗性噪声的中值∗XVCVC+SSVC+EFS驾驶室中值0.4960.3140.2930.3040.269平均2.0661.2751.2641.2361.202表2.CAB每一步的噪声大小比较在历史信息的帮助下,噪声幅度增加,从而减少无效采样的比例我们进一步测试了CAB攻击,使用MNIST [19]中期1039和CIFAR-10 [17]数据集。我们使用Resnet-50 [14]作为MNIST的目标模型,使用Dense- 100 [16]作为CIFAR-10的目标模型。通过在原始图像中加入均匀噪声直到误分类来生成初始的对抗样本。将基于决策的攻击的查询数量B设置为300。如表3所示,在随机初始化下,CAB仍然可以产生比其他决策方法更小的噪声。为了进一步验证CAB攻击中每个步骤的有效性,我们比较了单独使用或组合使用多个步骤时的中值和平均对抗噪声[1]为了泰尼-1040ABEvoBA戴瑞嘿3.4334.5845.35.5.驾驶室EvoBBA戴瑞1.453驾驶室EvoBBA戴瑞0.5960.8220.8831.10.94驾驶室EvoBBA戴瑞1.56811.驾驶室EvoBBA戴瑞0.8761.1131.1301.1561.23∗∗ݔכ水钩柄CB本西ݔᇱݔWheyBoundaryBBAEvolutionary CAB75857931金鱼海星Boun绿曼巴蛇2.1552.1352.1652.043驾驶室1.205埃沃1.702BBA2.079边界2.209乳清2.055红海龟BounEgypti ancat hogBounvollley ballljjollyboatBoun90621.969.9222.149845图4.Whey、Boundary、Biased Boundary(BBA)、Evolutionary(EVO)和我们的CAB产生的对抗性噪声的比较攻击标签和误分类类别在每行的x上方标注为y→F(x)。对的 由于CAB定制了带电流噪声的采样,有效地抑制了具有较高噪声的区域,从而实现了较高的噪声抛光效率。乳清4.1186.222边界4.1476.689偏置边界4.0626.414进化3.4455.812驾驶室3.1635.414表3. MNIST和CIFAR-10上随机初始化的中值噪声幅度的比较。Imagenet,我们表明,所有三个步骤,方差自定义( VC ) , 步 长 调 度 ( SS ) , 和 利 用 失 败 的 采 样( EFS)有 助于 提高 降噪 率表 2 。图 图 4比较 了对Imagenet(前4行)和Tiny-Imagenet(后2行)的五种不同的基于决策的攻击所产生的对抗性每一行的第一个图像是Curls攻击生成的初始对抗性示例x,然后是五次攻击的噪声幅度。从左到右列出了五种方法的抛光噪声(为了更好的可视化而增强了幅度)5. 结论在本文中,我们提出了定制的对抗边界,一种新的基于决策的攻击,使用当前噪声选择图像的敏感区域和定制的采样分布。我们揭示了方差和当前噪声之间的关系,以定制边界攻击的采样过程。此外,我们进一步定制了基于转移攻击的步长和初始噪声,通过噪声压缩过程中的单调性来打磨基于决策攻击的噪声。在多个数据集上的大量实验表明,CAB对各种目标模型的中值噪声幅度比其他基于决策的攻击更小。确认这项工作得到了国家自然科学基金的支持(基金61876130,61932009)。MNISTCIFAR-10初始5.8668.4291041引用[1] Wieland Brendel , Jonas Rauber , Alexey Kurakin ,Nicolas Papernot,Behar Veliqi,Sharada P Mohanty,Florian Laurent , MarcelSalath e' , MatthiasBethge ,YaodongYu,etal. 对抗性视觉挑战。在NeurIPS'18竞赛中Springer,2020年。[2] Thomas Brunner,Frederik Diehl,Michael Truong Le,and Alois Knoll.猜聪明:有效黑盒对抗攻击的有偏采样。在ICCV,第4958-4966页,2019年。[3] Nicholas Carlini和David A.瓦格纳。评估神经网络的鲁棒性。2017年IEEE安全与隐私研讨会(SP),第39-57页[4] Jianbo Chen,Michael I Jordan,and Martin J Wainwright.Hopskipjumpattack:一种基于查询效率的决策攻击。2019年,在ICLR[5] Pin-Yu Chen,Huan Zhang,Yash Sharma,Jinfeng Yi,and Cho-Jui Hsieh. Zoo:基于零阶优化的黑盒攻击,无需训练替代模型即可对深度神经网络进行攻击。在第10届ACM人工智能和安全研讨会的会议记录中,第15-26页[6] Minhao Cheng,Thong Le,Pin-Yu Chen,Jinfeng Yi,Huan Zhang,and Cho-Jui Hsieh.查询高效硬标签黑盒攻击:基于优化的方法。2019年,在ICLR[7] Shuyu Cheng,Yinpeng Dong,Tanyu Pang,Hang Su,and Jun Zhu.用基于转移的先验改进黑盒对抗攻击。在NeurIPS,第10932[8] 董银鹏,廖方舟,庞天宇,苏航,胡晓林,李建国,朱军.给敌对的进攻增加动力。CVPR,2018年。[9] 董银鹏,庞天宇,苏航,朱军。通过平移不变攻击规避对可转移对抗样本的防御。在CVPR,2019年。[10] Yinpeng Dong,Hang Su,Baoyuan Wu,Zhifeng Li,Wei Liu,Tong Zhang,and Jun Zhu.基于决策的黑盒对抗性攻击在人脸识别中的应用。在CVPR,2019年。[11] Alhussein Fawzi、Omar Fawzi和Pascal Frossard。分类器对 对 抗 扰 动 的 鲁 棒 性 分 析 Machine Learning , 107(3):481[12] 克里斯·芬利,阿拉姆·亚历山大·普拉迪恩,还有亚当·奥伯曼。logbarrier对抗攻击:有效利用决策边界信息。在ICCV,第4862- 4870页[13] Ian Goodfellow、Jonathon Shlens和Christian Szegedy。解释和利用对抗性的例子。2015年,国际会议。[14] Kaiming He,Xiangyu Zhang,Shaoying Ren,and JianSun.用于图像识别的深度残差学习。CVPR,第770-778页,2016年[15] 杰虎,李申,孙刚。挤压-激发网络。在CVPR中,第7132-7141页[16] Gao Huang,Zhuang Liu,and Kilian Q.温伯格密集连接的卷积网络。CVPR,第2261- 2269页[17] 亚历克斯·克列日夫斯基和杰弗里·辛顿从微小的图像中学习多层特征。技术报告,2009年。[18] Alexey Kurakin,Ian Goodfellow,and Samy Bengio.物理世界中的对抗性例子。ICLR Workshop,2017.[19] YannLeCun,Le'onBottou,YoshuaBengio和PatrickHaffner。基于梯度的学习应用于文档识别。Proceedings of the IEEE,86(11):2278[20] Liu Liu,Minhao Cheng,Cho-Jui Hsieh,and DachengTao.基于方差缩减法的随机零阶优化。arXiv预印本arXiv:1805.11811,2018。[21] 刘延培,陈新云,刘成智,宋晓东.深入研究可转移的对抗性示例和黑盒攻击。在ICLR,2017。[22] Anh Nguyen,Jason Yosinski和Jeff Clune。深度神经网络很容易被愚弄:无法识别图像的高置信度预测。在CVPR中,第427-436页[23] Nicolas Papernot、Patrick McDaniel、Somesh Jha、MattFredrikson、Z Berkay Celik和Ananthram Swami。深度学习在对抗环境中的局限性。在Eu-rosP,第372-387页[24] OlgaRussakovsky , Jia Deng , Hao Su , JonathanKrause , San- jeev Satheesh , Sean Ma , ZhihengHuang , Andrej Karpathy , Aditya Khosla , MichaelBernstein , et al. 图 像 网 大 规 模 视 觉 识 别 挑 战 。International Journal of Computer Vision,115(3):211[25] Yucheng Shi , Siyu Wang , and Yahong Han. Curlswhee:Boosting black-box adversarial attacks.在CVPR,2019年。[26] K. Simonyan和A.齐瑟曼。用于大规模图像识别的深度卷积网络。2015年,国际会议[27] Christian Szegedy、Sergey Ioffe、Vincent Vanhoucke和Alexander A Alemi。起始-v4,起始-resnet和剩余连接对学习的影响。在AAAI,第12页,2017年。[28] Christian Szegedy、Vincent Vanhoucke、Sergey Ioffe、Jon Shlens和Zbigniew Wojna。重新思考计算机视觉的初始架构。在CVPR,第2818-2826页,2016年。[29] Christian Szegedy,Wojciech Zaremba,Ilya Sutskever,Joan Bruna , Dumitru Erhan , Ian J. Goodfellow 和 RobFergus。神经网络的有趣特性。InICLR,2013.[30] Flori anTrame`r , Alexe yKurakin , Nicol asPapernot ,DanBoneh,and Patrick D.麦克丹尼尔集体对抗训练:攻击和防御。
下载后可阅读完整内容,剩余1页未读,立即下载
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![-](https://csdnimg.cn/download_wenku/file_type_column_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- BSC关键绩效财务与客户指标详解
- 绘制企业战略地图:从财务到客户价值的六步法
- BSC关键绩效指标详解:财务与运营效率评估
- 手持移动数据终端:常见问题与WIFI设置指南
- 平衡计分卡(BSC):绩效管理与战略实施工具
- ESP8266智能家居控制系统设计与实现
- ESP8266在智能家居中的应用——网络家电控制系统
- BSC:平衡计分卡在绩效管理与信息技术中的应用
- 手持移动数据终端:常见问题与解决办法
- BSC模板:四大领域关键绩效指标详解(财务、客户、运营与成长)
- BSC:从绩效考核到计算机网络的关键概念
- BSC模板:四大维度关键绩效指标详解与预算达成分析
- 平衡计分卡(BSC):绩效考核与战略实施工具
- K-means聚类算法详解及其优缺点
- 平衡计分卡(BSC):从绩效考核到战略实施
- BSC:平衡计分卡与计算机网络中的应用
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)