基于频率驱动的不可感知对抗攻击

15315基于频率驱动的语义相似性不可感知对抗攻击罗成* 林勤良* 谢伟成<$碧珠吴锦恒谢琳琳沈1深圳大学计算机科学软件工程学院计算机视觉研究所&2深圳市人工智能机器人社会研究&3智能信息处理{luocheng2020，linqinliang2021} @ email.szu.edu.cn，{wcxie，llshen} @szu.edu.cn摘要目前的对抗性攻击研究揭示了基于学习的分类器对精心制作的扰动的可扩展性然而，大多数现有的攻击方法在跨数据集泛化方面具有固有的局限性，因为它们依赖于具有封闭类别集的分类层此外，由这些方法产生的扰动可能出现在人类视觉系统（HVS）容易感知的区域中。为了避免前一个问题，我们提出了一种新的算法，攻击特征表示的语义相似性。通过这种方式，我们能够欺骗分类器，而不会将攻击限制在特定的数据集上。对于不可感知性，我们引入低频约束来限制高频分量内的扰动，确保对抗性示例和原始示例之间 的感 知相 似性 。在 三个 数据 集（ CIFAR-10，CIFAR-100和ImageNet-1 K）和三个公共在线平台上的广泛实验表明，我们的攻击可以产生跨架构和数据集的误导性和可转移的对抗性示例。广告、可视化结果和定量性能（根据四种不同的指标）表明，（一）（b）第（1）款（c）第（1）款对抗性示例扰动所提出的算法比现有技术的方法产生更多的不可察觉的扰动。代码可在https://github.com/LinQinLiang/SSAH-adversarial-attack上获得。1. 介绍随着深度学习的出现，神经网络模型[10，12，16，32]在现实世界数据集的识别任务中表现出革命尽管如此，深度神经网络（DNN）对图像损坏和对抗性示例的脆弱性已经被揭露[8，35]。这一问题阻碍了*同等贡献†通讯作者15316图1.对抗性例子和扰动的比较由三种不同的攻击方法产生的问题：（a）C W，（b）我们的SSA（语义相似性攻击），和（c）我们的SSAH（高频分量的语义相似性攻击）。对于可视化，我们通过取其绝对值并将其乘以25来正则化扰动。DNN在安全关键领域，并促进研究了解DNN的鲁棒性，包括对抗性攻击[1，8]和防御[22，36，40，44]。白盒攻击最直观的方法是增加分类损失的成本[8]，通过梯度下降产生对抗性样本。此外，他们还进一步应用了bandrop距离来限制良性图像和扰动图像之间的视觉差异。然而，传统方法可能受到两个公开问题的困扰：• 跨数据集泛化的固有限制。15317由于具有表示特定类别代理的学习权重向量的分类层，基于白盒或代理分类器的当前攻击范例限于此设置，其中模型训练和攻击域的图像来自同一组类别。然而，在现实世界的场景中，来自开集[25]的图像可能属于分类器的未知类别。• 对HVS的不可感知性差 Sharif等人[30]已经证明了BMAP距离度量不足以评估感知相似性。换句话说，视觉不可感知性可能不能仅使用扰动强度来明确地反映例如，众所周知的攻击方法C W [1]在平滑背景上生成易于感知的扰动，如图1（a）所示。直觉上，绕过分类层的自然方法是在特征空间中执行攻击。在这项工作中，我们提出了一个一般的对抗性攻击，即语义相似性攻击（SSA），它建立在特征表示的相似性更具体地说，我们将对抗性和良性示例的表示分开，但将对抗性和目标（最不相似的）示例的表示拉在通过这种方式，我们可以在不知道特定图像类别的情况下欺骗分类器。基本的假设是，高层次的表示意味着图像的歧视和语义。因此，扰动这样的表示可以引导扰动朝向像素空间内的语义区域如图1（b），SSA专注于扰动语义区域，如场景中的对象，同时抑制无关区域上的冗余扰动。除了BLOCP范数[1，2，26，27]之外，其他测量方法，如CIEDE2000 [46]，SSIM [9]和LPIPS [18]也被应用于近似感知相似性。在这项工作中，我们从频域的角度提供了一个不同的度量。通常，图像的低频分量包含基本信息，而高频分量表示琐碎的细节和噪声。受此启发，我们将低频分量的变化作为图像像素空间中的感知变化来我们进一步建立了一个低频约束，以限制不可感知的高频分量内的扰动。如图1（c）所示，由所提出的框架产生的扰动，即：SSAH主要出现在诸如对象边缘的不可感知区域上。一些工作表明，对抗性示例可能既不在高频分量中，也不在低频分量中[23]，并且具有很大可感知性的低频扰动对于攻击防御模型特别有效[31]。尽管如此，我们认为在高频分量中开发攻击是重要的，因为它有助于提高扰动的不可感知性。简单到HVS，并学习更好地与人类感知保持一致的强大模型。最近的工作[38，41]也证明了这些高频信号几乎不能被HVS感知，但可以在很大程度上决定DNN的预测结果。其主要贡献可归纳如下：• 我们提出了一种新的对抗性攻击，SSA，这是适用于广泛的设置通过攻击图像的语义相似性。• 我们提出了一个新的扰动约束，低频约束，到SSA的联合优化，以限制在不可感知的高频分量的扰动。• 我们在三个数据集上进行了广泛的实验，即。CIFAR-10、CIFAR-100和ImageNet-1 K的仿真实验结果表明，该攻击方法通过显著的不可感知扰动，获得了优于现有攻击方法的性能。• 实验结果表明，我们的SSAH产生的对抗扰动更可转移到不同的架构和数据集。2. 相关工作特征空间攻击。特征空间攻击[13，29]对图像表示进行修改，使其与不同类别的目标图像非常这些方法的相同目标是直接最小化目标DNN中源图像和目标图像的中间层特征之间的欧几里得距离。最近应用于人员重新识别[37，39]或图像检索[7，19]的类似攻击通过最小化类间对的距离同时最大化类内对的距离来生成对抗性扰动或模式。在这项工作中，我们扰动的图像实例的类特定的表示从特征相似性的角度来看，设计了一个更灵活的优化方案。无形的攻击。一系列丰富的作品[1，8，9，14，18，45，46]诉诸于设计感知相似性度量来约束对抗示例生成期间的扰动。在这些度量中，通常采用扰动的Cupp范数[1]。然而，最近的研究表明，人类行为规范并不完全符合人类的认知。因此，提出了根据对象结构[9]、边 缘 [14] 、 颜 色 [46] 和 学 习 感 知 图 像 块 相 似 性（LPIPS）[18，45]的相似性的其他感知距离，以改善扰动的不可感知性。在这项工作中，我们将图像分解成各种频率分量的小波和测量图像对相似性通过其低频分量的距离。15318··i i，ii，j我+我我 2JXi上将Xi重建（xi）分解低频分量推开xadv我高频分量f（·）拉向最小值（x）最小值（xadv）最小值i i i 1XJ一小批图像xadv我重建（xadv）我考拉分解低频分量表示空间高频分量对抗性示例目标语义相似性攻击低频约束图2.拟议SSAH的概述。左：语义相似性攻击;右：低频约束。f（）是从图像到其在表示空间中的嵌入的映射。RNN（）是一个浅层网络，它将图像分解为不同的频率分量，并使用低频分量重建图像。深度学习中的波浪。小波变换是一种有效的时频分析工具，离散小波变换（DWT）常被用来将图像数据分解成各种频率分量。最近的作品[6，21]探索在深度学习中实现小波变换，用于各种视觉任务，如图像分割。特别地，Liet al.[20]设计一个DWT/IDWT层，使离散小波变换易于应用于DNN。3. 方法在白盒设置中，对手可以访问目标分类器的细节（即，结构、参数、相对于（w.r.t.）输入）来制作对抗示例xadv=x+δ，其中图像扰动δ是良性示例x。通常，需要距离度量D来量化感知相似性（在对高频分量的虚警攻击（SSAH），其框架如图2所示。 SSAH是由一个攻击范式（语义相似性攻击）和一个新的扰动约束（低频约束）。语义相似性攻击不需要分类层，但倾向于改变成对特征表示的相似性。低频约束保留了对象的基本信息，并将扰动限制在不可感知的高频分量内。3.1. 语义相似性攻击3.1.1攻击设计传统的白盒攻击方法解决了Eq.（1）通过最大化分类损失或改变logits。然而，给定N个实例的小批量，即，，X=[x，x，. . .，x]，我们反而优化一个对抗性的例子和它的原始例子），并被用作1 2 NAdv扰动的约束。我们可以将非目标攻击场景中的对抗性示例公式化为以下问题的解决方案：xadv=x+argmin{D（x，x+δ）|argmax{zi′}=y}，第i个对抗示例xi的表示为：xadv=argmin[s′−min{s′|j=i}]+，（2）我其中[·]表示max（·，0），x′是优化变量（一）其中zi′ = wTf（x + δ）表示logit（即，，示例的嵌入向量f（x + δ）与权重向量wi（i= 1，2，. -是的- 是的 ，C），y表示地面实况标签，C是类别的数量。并 且 初 始 化 为 xi ， s′i ， i = sim （ f （ x′i） ， f（xi））和s′i，j =sim（f（x′i），f（xj））是相似性分数。在我们的方法中，我们使用嵌入的余弦相似性，其定义为：′f（x′i）Tf（xj）在这项工作中，我们提出了一个新的语义相似-si，j=<$f（x′）<$$>f（x）<$.（三）δ我x′215319x′≥−−类似地，我们可以将目标场景中的攻击定义为：xadv= argmin[s′-s′]+、（4）我X′i 我-我i，t其中t表示小批量中的目标图像的索引。当量（4）旨在鼓励对抗性示例x′i在特征表示方面接近目标xt在不失一般性的情况下，我们只讨论无目标攻击的情况。Eq中的攻击目标（1）改变分类层的logit换句话说，它将对抗性示例的嵌入从其地面实况类质心中推出来。相比之下，我们直接改变成对相似性：降低对抗性示例与其原始示例之间的相似性，同时增加对抗性示例与其在小批量中最不相似的示例通过这种方式，我们的攻击误导分类器将示例表示映射到不同的子空间。3.1.2自定进度加权为了避免多余的扰动，我们设计了一个自定步的加权方案，以提高优化的灵活性。这种方案设计的灵感来自于在度量学习中使用它的循环损失[33]它旨在调整每个相似性得分的优化速度，如下所示：xadv= arg minLSSA（xi，x′）图3.说明我们的图像分解和reversic- tion小波变换。具有复数（例如，，A部分）和光滑（例如，部分B）上下文可以通过离散小波变换（DWT）分解为低频分量（xll）和高频分量（xlh、xhl和xhh重建图像x<$具有与原始图像x相同的基本形状和分辨率。我们观察到HVS对物体结构和光滑区域更敏感，而不容易感知物体边缘和复杂纹理。例如，隐藏在A部分（图3中）的密集气泡中的扰动比像B部分那样的平滑背景中的扰动更不可见它激励我们将扰动限制在区域内我我X′i=argmin[αis′i，i−βimin{s′i，j|j=i}]+，我其中，αi和βi以自定步方式调整为：. αi=[s′i，i-m]+，（五）对HVS不太敏感。从频域的角度来看，表示噪声和纹理的高频分量比包含基本对象结构的低频分量更不可感知作为一种时频分析工具，离散小波变换（DWT）可以将信号分解为多个时频分量，βi=[1+ m−min{s′i，j|Ji}]+（六）、将x成像为一个低频分量和三个高频分量，即，，xll，xlh，xhl，xhh为：其中m0是预定义的裕度。当量（6）是我们攻击的权重因子设置。与等式中的（s′i，i-s′i，j）（2）引入自适应权值-xll=LxLT，xlh=HxLT，xhl=LxHT，xhh=HxHT，（七）设为（αis′i，i βis′i，j）. 在变量x′i的优化过程中，当反向传播到s ′ i，i（s ′ i，j）时，关于（αis′i ，iβis′i，j）的梯度与αi（βi）相乘。因此，接近其最佳值的相似性得分为-用较小的梯度签名，而较少优化的相似性得分被分配有较大的梯度。3.2. 低频约束虽然SSA在表示空间中产生扰动，但是仍然存在这些扰动可能在HVS可感知的区域中分布的风险。另一方面，常规约束可能导致扰动的随机分布。因此，我们寻求一个新的约束到SSA的联合优化，限制扰动到难以察觉的细节的对象。其中L和H分别是正交小波的低通和高通滤波器。如图3所示，xll保留了原始图像的低频信息，而xlh、xhl和xhh与边缘和剧烈变化相关联。通常，逆离散小波变换（IDWT）使用所有四个分量来重建图像。在这项工作中，我们放弃了高频分量，并重建了一个只有低频分量的图像，其中x<$=x（x），（x）= LTxllL = LT（LxLT）L.（八）通过对图像的分解和重构，可以得到图像的主要信息.这意味着我们可以评估15320D我−−}L迭代次数K;类的编码器f（·）×Ni=1我我i=1i=1联系我们N{|}Di=1两个图像的主要信息。在此基础上，我们在x和x′之间建立了一个新的约束：Dlf（x，x′）=（x）−（x′）1。（九）因此，特定于扰动图像的感知信息的损失（九）、3.3. 统一攻击我们定义SSAH的目标为语义相似性攻击SSA下的新的约束LF。对抗性示例xadv可以获得为：xadv= arg minLSSAH（xi，x′）CIFAR-10; ImageNet-1 K有1 K个类，包含大约130万张用于训练的图像和50 K张用于验证的图像。实作详细数据。分别将学习率为0.01、0.01和0.001的Adam优化器用于CW、PerC-AL [46]和我们的SSAH方程中的超参数m的默认值（6）和λ在方程中。（10）分 别 为 0.2 和 0.1 。 在 BIM [17] 、 PGD [22] 、 AA（AutoAt-tack）[3]和MIM [4]的扰动预算（Δ θ）分别设 置 为 Δθ ∞ 下 的 8/255 。 该 预 算 指 定 为 迭 代 步 长α=1/255。我们使用ResNet-20模型，分别在CIFAR-10和CIFAR-100上实现7.4%和30.4%的前1个测试误差，作为这两个数据集的白盒模型对于ImageNet-1 K，我X′i我（十）采用训练的ResNet-50，其实现23.85%的前1误差。对于我们的低频=λDlf（xi，x′i）+LSSA（xi，x′i），其中λ是特定于低频约束的超参数在实践中，我们用变量r=约束下，采用Haar小波。我们所有的实验都是在具有40GB内存的NVIDIA A100 GPU上进行的。评估指标。对于绩效评估和ii比较，我们使用攻击成功率（ASR）和四个arctanh（2xi1）用于优化。 为了清楚起见，我们在算法1中给出了伪代码来概述我们的SSAH的主要过程。算法1使用SSAH的N不同的度量，包括传统的平均λ2失真，最大扰动强度（λ∞），Fr e′ chetIncep-tion Distance（FID）[11]和新引入的度量，即基于二维离散小波变换的低频分量（LF）的平均失真，用于近似感知相似性。要求：原始图像的小批量{xi}i=1;LF（LF=1N∥ϕ(xi)−ϕ(xadv)∥2) is employed to更好。1：初始化x′N，其中xiN;2：对于i=l至N，do3： 初始化变量ri为arctanh（2x′i1）;4： 对于k=1至K，量化基本结构信息的平均变化原始示例和对抗示例之间的关系。4.2.白盒攻击在本节中，我们评估了由不同AP生成的示例的对抗强度和不可感知性，5：计算余弦相似度得分{s′i，jj=1as在白盒场景中，由方程式 （3）并使用等式（1）中的s′i，i和最低相似性得分min s′i，j j i。（5）;6：计算约束损失lf（xi，x′i），如当量（9）;7：通过 最小化来优化变量r i目标系统完全可以访问。选项卡. 图1显示了九种攻击方法在五种不同度量方面 的 性 能 它 表 明 ， 我 们 的 攻 击 ， 与 最 低 的 blogp（即。，2或∞）范数，SSAH（xi，x′i），如等式 （10）求出x′i通过ri;8：结束第九章： 端10：返回{x′i}N。4. 实验4.1. 实验装置数据集。我们在三个一般数据集上评估了我们的方法的 性 能 ， 即 CIFAR-10 [15] ， CIFAR-100 [15] 和ImageNet-1 K [28]。特别是，CIFAR-10包含50 K训练样本和10 K测试样本，大小为32 32，来自10个类;CIFAR-100有100个类，包含相同数量的训练（测试）样本，15321在所有三个数据集上都成功。更重要的是，我们的语义相似性攻击（SSA），没有严格约束的BLP规范或其他感知距离，可以产生扰动是不可感知的。一般来说，FID与人类的判断是一致的，很好地反映了干扰的水平。它计算Inception-v3 [34]网络的特征空间中良性图像和扰动图像之间的距离。所提出的SSAH在Imagenet-1 K上实现了3.90的FID，这大大 超 过 了 最 先 进 的 模 型 ， 如 PerC-AL （ 11.56FID）。这种改进表明，我们的面向特征的攻击生成的对抗性示例在像素空间中具有更逼真的视觉效果，但在特征空间中的变化更少。选项卡. 1还表明，我们的攻击显着优于形式的LF在所有情况下的其他方法。 这意味着我们的攻击可以有效地保护ob-15322数据集攻击迭代运行时间（s）↓ASR（%）↑ASR2↓FID↓LF↓BIM [17]10 35 100 0.85 0.03 14.85 0.23PGD [22] 10 37 100 1.28 0.03 27.86 0.34MIM [4] 10 46 100 1.90 0.03 26.00 0.48电话：+8621 6600000传真：+86 21 6600000CIFAR-10电话：+86-510 - 8888888传真：+86-510 - 8888888C W2 [1] 1000 991 100 0.39 0.06 8.23 0.11PerC-AL [46] 1000 1221 98.29 0.86 0.18 9.58 0.15CIFAR-100BIM [17] 10 34 99.99 0.850.0315.26 0.32PGD [22] 10 31 99.99 1.290.0327.74 0.42MIM [4] 10 30 99.99 1.870.0326.04 0.65电话：+8621 6600000传真：+86216600000电话：+86-510 - 8888888传真：+86-510 - 8888888C W2 [1] 1000 751 100 0.52 0.07 11.04 0.19PerC-AL [46] 1000 919 99.61 1.41 0.21 12.83 0.37SSA（我们的）15015099.900.480.039.680.17SSAH（我们的）15014999.800.450.039.200.13ImageNet-1KBIM [17] 10 3998 99.98 26.85 0.03 51.92 11.18PGD [22] 10 3451 99.98 54.97 0.03 45.51 17.41电话：+86-021 - 8888888传真：+86-021 - 8888888电话：+86 21 6668888传真：+86 21 6668888电话：+86-510 - 8888888传真：+86-510 - 8888888C W2 [1] 1000>10000099.271.510.04 12.14 0.67PerC-AL [46] 1000>100000 98.78 4.35 0.12 11.56 1.59SSA（我们的）2003541498.562.340.014.631.05SSAH（我们的）2003801898.011.810.013.900.06表1.结果的攻击成功率（ASR）和三个指标相关的感知相似性的九种攻击方法在非目标场景。最佳结果以粗体标记。来自ImageNet-1 K的更高分辨率图像的对抗性示例和扰动（与图1相同的正则化）。据观察，我们的SSAH产生的图像似乎更自然的HVS。4.3. 稳健性国防FSAT [43]原始PGDMIMC WPerC-ALSSAH无攻击84.92 56.94图4. CIFAR-100上五种不同攻击方法生成的对抗性示例喷射结构和低频分量。再-贸易[44][5] 2016年10月31日C W [1] 81.2448.51PerC-AL [46]84.7056.90SSAH（我们的）78.6849.23针对目标明确的攻击情况的具体结果遵循类似的模式，可在补充材料中找到。图4显示了在CIFAR-100上通过五种方法生成的对抗性示例。同时，图5显示ad-表2.四种白盒攻击下两种防御方法的识别准确率（%）为了研究所提出的攻击的鲁棒性，我们来-SSA（我们的）15019299.960.290.025.730.07SSAH（我们的）15019899.940.260.025.030.03攻击CIFAR-10CIFAR-100没有攻击89.9874.11Adv [5]70.2640.83C W [1]60.6025.04PerC-AL [46]89.8074.00SSAH（我们的）60.434.8515323CIFAR-1016.87CIFAR-100SSAH（我们的）17.66ResNet-20CIFAR-100GD-UAP [24]12.7210.2218.68SSAH（我们的）18.31原始C WPerC-ALSSAH图5.对抗性示例和三种攻击方法在ImageNet-1 K的两张高分辨率图像上产生的扰动此图以彩色/屏幕显示效果最佳。分析了四种攻击方法对两种防御方案（FSAT [43]和TRADES [44]）的攻击成功率。与[ 44 ]相同的网络架构，即，WRN- 34-10在[42]中引入，用于生成对抗扰动。基于使用防御方法FSAT训练的网络，我们的攻击大幅降低了模型的准确性，即。在CIFAR-10和CIFAR-100上分别为29.55%和69.26%，并且在CIFAR- 100上大大优于其他方法。二、针对更强大的防御方法（即，，TRADES），SSAH仍然可以实现竞争结果。对于CIFAR-10，SSAH比CW提高了2.56%。4.4. 转让性为了研究所提出的算法在开集环境中的可移植性，我们评估了跨架构和数据集传输的对抗性示例也就是说，在不知道训练集和黑盒模型的架构的情况下（例如，，ResNet-18），我们研究了攻击的程度，基于另一种架构（例如，，ResNet-20）在另一个数据集（例如，，CIFAR-10），将该黑盒模型的分类影响到验证集（例如，ImageNet-1K）。我们使用高斯噪声和输入不可知扰动（即，，GD-UAP [24]）作为基线，扰动生成的λ∞实验结果见表。3表明，我们的SSAH显着优于这两个基线的八个案件。为了测试攻击在真实场景中的有效性，我们在Mi上进行了攻击在线模型的实验，代理训练集攻击ResNet-18V G G -16- -高斯噪声9.18 10.20ResNet-20 CIFAR-10GD-UAP [24] 14.09 11.44GD-UAP [24]14.6312.38SSAH（我们的）16.9217.52GD-UAP [24]12.9310.39SSAH（我们的）17.9219.14表3.在不同架构和数据集之间传输对抗性示例的攻击成功率（%）第一列（代理）和第二列（训练集）分别表示代理目标分类器（即，，ResNet-18或VGG-16）在不同的数据集上训练（即，，ImageNet-1 K），并且ImageNet-1 K的验证集用于测试。crosoft Azure1、腾讯云2和百度AI Cloud3。他们平台中使用的模型和训练数据对我们来说是完全未知的。我们从ImageNet-1K验证集中随机抽取了200张图像（图像名称在我们的补充材料中列出），并使用ResNet-152上的四种攻击方法对其进行扰动。选项卡. 4显示了这些攻击对在线模型的攻击成功率。在选项卡中。4、在不进行任何分类查询的情况下，对腾讯云在线模型的攻击成功率为37.98%，超过-1https://azure.microsoft.com/2 https://cloud.tencent.com/3https://cloud.baidu.com/网站15324DSSA表4.将对抗性示例转移到三个在线模型的攻击成功率（%）。在很大程度上形成了其他途径。4.5. 分析在本节中，我们深入了解了所提出的攻击的工作机制，并研究了攻击中每个组件的行为。SSAHITER。1 iter。10 iter。150iter。1000图7. SSA和SSAH在不同迭代中产生的归一化扰动。攻击模式2< $∞<$FID<$LF<$SSA w/o SPW 3.120.015.831.40特别行政区SSAH（一）（b）第（1）款表5. 基于不同的模块，即对ImageNet-1 K的拟议攻击的消融研究。、自定步加权（SPW）、低频约束LF.w/o SPW意味着删除自间隔加权。第2行和第3行显示所提出的低频图6.在（a）SSAH和（b）CW下使用t-SNE算法的对抗性示例的2D特征表示。一个对抗性的示例表示逐渐从其原始类（马）更新到所选的目标类（船）。给出了10、15、20、30和40次迭代的结果为了研究所提出的语义相似性攻击的对抗性示例生成，我们在图6中的2D平面上可视化了迭代对抗性示例。在此分析中，CIFAR-10中四个类的随机实例的子集用于可视化。图6表明我们的攻击可以迭代地将敌对示例从良性示例中推出来，并逐渐将其引导到特征表示空间中的目标类。与C W相比，我们的语义相似性攻击更有效地误导白盒网络将图像映射到目标类子空间。为了研究所提出的低频约束的性能，在图7中可视化了SSA和SSAH在不同迭代中的归一化扰动。该图表明，SSA产生的扰动倾向于分布在对象前景以及一些平滑的背景区域上，而SSAH产生的扰动逐渐出现在边缘或复杂纹理中。为了量化SSAH中每个组分的贡献，我们在表1中进行了消融研究。五、第一和第二行的结果选项卡。5显示SSA，通过SPW的调整，显著降低了FID，幅度为1.20与没有SPW的变体相比中的结果约束大大改善了LF，即从1.05到0.06。5. 结论我们提出了一个新的框架，SSAH，对抗性攻击。它的目的是通过攻击它们在表示空间中的语义相似性来扰乱图像。这种在特征空间中攻击图像的方法在各种设置中都很好地特别是，所提出的框架可以用于更一般和实用的黑箱设置，例如在架构和数据集之间生成可转移的对抗性示例，以及在各种平台上误导实际在线在实践中，更常见的是在开集场景中攻击。出于这个原因，在这种情况下开发更有效的租赁是值得的。此外，引入低频约束以限制高频分量内的对抗性扰动。大量的实验表明，这种约束扰动改善了不可感知性，特别是在光滑区域。6. 确认本研究得到了国家自然科学基金项目的资助本项目由广东省科技厅、深圳市科技创新委员会、广东省科技厅、JCYJ20190808165203670。对抗性示例原始目标标签：汽车标签：马标签：bird标签：船舶标签：汽车标签：bird标签：船舶攻击Microsoft Azure腾讯云百度AI云Adv [5]16.2615.8317.82C W [1]13.8221.7127.72PerC-AL [46]15.4518.6118.81SSAH（我们的）18.7037.9836.6315325引用[1] 尼古拉斯·卡利尼和大卫·瓦格纳。评估神经网络的鲁棒性在IEEE安全与隐私研讨会（SP）中，第39-57页一、二、六、八[2] Pin-Yu Chen，Yash Sharma，Huan Zhang，Jinfeng Yi，and Cho-Jui Hsieh. Ead：对深度神经网络的弹性网络攻击 - 通 过 对 抗 性 示 例 进 行 。 在 AAAI 人 工 智 能 会 议（AAAI）的会议记录中，2018年。2[3] 弗朗切斯科·克罗齐和马蒂亚斯·海因。 可靠的评估对抗鲁棒性与不同的参数自由攻击的合奏。在国际机器学习会议（ICML），第2206-2216页，2020年。五、六[4] Yinpeng Dong ， Fangzhou Liao ， Tanyu Pang ， HangSu，Jun Zhu，Xiaolin Hu，and Jianguo Li.给敌对的进攻增加动力。在IEEE计算机视觉和模式识别会议论文集（CVPR）中，第9185-9193页，2018年。五、六[5] 段然杰，陈岳峰，牛丹彤，云扬，秦AK，袁鹤。Advdrop：通过丢弃信息对dnn进行对抗性攻击。在IEEE国际计算机视觉会议（ICCV）的会议中，第7506六、八[6] 段一平，方琉，焦立成，赵鹏，张璐。基于卷积-小波神经网络和马尔可夫随机场的SAR图像分割。PatternRecognition，64：255-267，2017. 3[7] Yan Feng，Bin Chen，Tao Dai，and Shu-Tao Xia.对用于图像检索的深度积量化网络的对抗性攻击。在AAAI人工智能会议论文集（AAAI），第34卷，第10786-10793页，2020年。2[8] Ian J Goodfellow，Jonathon Shlens，Christian Szegedy.解释 和 利 用 对 抗 性 的 例 子 。 国 际 学 习 表 征 会 议（ICLR），2015年。一、二[9] Muhammad Zaid Hameed和Andras Gyorgy。感知约束对抗攻击。arXiv预印本arXiv：2102.07140，2021。2[10] Kaiming He，Xiangyu Zhang，Shaoying Ren，and JianSun.用于图像识别的深度残差学习。在Proceedings ofthe IEEE Conference on Computer Vision and PatternRecognition（CVPR），第770-778页，2016中。1[11] Martin Heusel、Hubert Ramsauer、Thomas Unterthiner、Bernhard Nessler和Sepp Hochreiter。两个时间尺度更新规则训练的甘斯收敛到一个局部纳什均衡。神经信息处理系统进展（NIPS），30，2017。5[12] Gao Huang，Zhuang Liu，Laurens Van Der Maaten，andKilian Q Weinberger.密集连接的卷积网络。在IEEE计算机视觉和模式识别会议（CVPR）的会议记录中，第2261-2269页1[13] Nathan Inkahwhich，Wei Wen，Hai Helen Li，and YiranChen.特征空间扰动产生更多可转移的对抗性示例。 在IEEE计算机视觉和模式识别会议（CVPR）中，第7066-7074页2[14] 张宇英吴熙和宋世杰机器学习中对抗样本的客观度量在年度计算机安全应用会议（ACSAC），第262-277页，2017年。2[15] 亚历克斯·克列日夫斯基和杰弗里·辛顿从微小的图像中学习多层特征多伦多大学计算机科学系技术报告，加拿大，2009年。5[16] 亚历克斯·克里热夫斯基、伊利亚·萨茨克弗和杰弗里·E·辛顿。使用深度卷积神经网络的图像网分类。神经 信 息 处 理 系 统 进 展 （ NIPS ） ， 25 ： 1097-1105 ，2012。1[17] Alexey Kurakin，Ian Goodfellow，and Samy Bengio.物理世 界中 的对 抗性 例子 。在国际 会议 上学 习代 表（ICLR）研讨会，2017年。五、六[18] Cassidy Laidlaw Sahil Singla和Soheil Feizi感知对抗鲁棒性：防御看不见的威胁模型。在国际学习代表会议（ICLR），2021年。2[19] Jie Li，Rongrong Ji，Hong Liu，Xiaopeng Hong，YueGao，and Qi Tian.图像检索的通用扰动攻击.在IEEE计算机视觉国际会议（ICCV）的会议记录中，第4899-4908页2[20] Qiufu Li，Linlin Shen，Sheng Guo，and Zhihui Lai.小波集成cnn用于抗噪图像分类。在IEEE计算机视觉和模式识别会议（CVPR）的Proceedings中，第7245-7254页3[21] Pengju Liu，Hongzhi Zhang，Kai Zhang，Liang Lin，and Wangmeng Zuo.用于图像恢复的多级小波神经网络。在IEEE计算机视觉和模式识别会议（CVPR）研讨会论文集，第773-782页，2018年。3[22] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。对抗攻击的深度学习模型在2018年国际学习表征会议（ICLR）一、五、六[23] Shishira R Maiya，Max Ehrlich，Vatsal Agarwal，Ser-Nam Lim，Tom Goldstein，and Abhinav Shrivastava.对抗 鲁 棒 性 的 频 率 视 角 。 arXiv 预 印 本 arXiv ：2111.00861，2021。2[24] Konda Reddy Mopuri， Aditya Ganeshan 和 R VenkateshBabu。可推广的无数据目标，用于制作单一对抗性扰动。IEEE Transactions on Pattern Analysis and MachineIntelligence，41（10）：2452 7[25] Pau Panareda Busto和Juergen Gall。开集域自适应。在IEEE计算机视觉国际会议（ICCV）的会议记录中，第754-763页，2017年。2[26] Nicolas Papernot、Patrick McDaniel、Somesh Jha、MattFredrikson、Z Berkay Celik和Ananthram Swami。深度学习在对抗环境中的局限性。在2016年IEEE欧洲安全和隐私研讨会（Eu-rosP），第372-387页，2016年。2[27] Je´romeRony ， LuizGHafemann ， LuizSOliv eira ，IsmailBenAyed，Robert Sabourin，and Eric Granger.解耦方向15326用于有效的基于梯度的L2对抗攻击和防御的规则和规范。在IEEE计算机视觉和模式识别会议（CVPR）中，2019年。2[28] Olga Russakovsky ， Jia Deng ， Hao Su ， JonathanKrause ， San- jeev Satheesh ， Sean Ma ， ZhihengHuang ， Andrej Karpathy ， Aditya Khosla ， MichaelBernstein ， et al. Imagenet large scale visual recognitionchallenge.International Journal of Computer Vision，115（3）：211-252，2015. 5[29] Sara Sabour 、 Yanshuai Cao 、 Fartash Faghri 和 David JFleet。 对抗性操纵深层表征。国际学习表征会议（International Conference on Learning Representations，ICLR），2016。2[30] Mahmood Sharif，Lujo Bauer，and Michael K.瑞特关于lp-范数对于创建和防止对抗性例子的适用性。在IEEE计算机视觉和模式识别会