没有合适的资源?快使用搜索试试~ 我知道了~
16188攻击是最好的防御:通过限制感知对抗攻击使图像到图像翻译GANs无效叶金元1,3,陈锡文1,洪汉帅2,杨德年3,陈明贤11国立台湾大学2国立阳明交通大学3中央研究院{d09942009,d09921004,mschen}@ ntu.edu.twdnyang@iis.sinica.edu.twhhshuai@g2.nctu.edu.tw摘要由于图像到图像(Img2Img)翻译GAN的巨大成功 , 出 现 了 许 多 具 有 伦 理 问 题 的 应 用 , 例 如 ,DeepFake和DeepNude,提出了一个挑战性的问题,以防止这些技术的滥用。在这项工作中,我们解决了这个问题,一个新的对抗性攻击方案,即无效攻击,它可以cels的图像翻译过程,并提出了相应的框架,有限意识的自我引导梯度滑动攻击(LaS-GSA)下的黑盒设置。换句话说,通过在发布之前用所提出的LaS-GSA处理图像,可以使任何图像转换函数无效,这防止了图像被恶意操纵。首先,我们引入极限感知RGF和梯度滑动机制来估计符合对抗极限的梯度,即对抗性示例的像素值限制。从理论上证明了该模型能够避免投影方向和投影长度带来的误差然后,一个有效的自引导前提取单独从威胁模型和目标图像,以有效地利用先验信息,并指导梯度估计过程。大量的实验表明,LaS-GSA需要更少的查询来抵消图像翻译过程,具有比4种最先进的方法更高的成功率。1. 介绍最近,生成对抗网络(GANs)[13]在各种图像到图像翻译(Img2Img)任务上取得了令人印象深刻的突破,包括inpainting [25]和风格转移[33]。这些模型通过确保翻译图像的风格接近目标域的图像风格而学习跨域映射,同时仍然保留输入图像的语义,例如,身份和布局1由于伦理原因,说明性示例利用毛发改变模型BLACK2BLOND,而不是DeepNude [31]。图1:对Img2Img GAN的无效攻击的说明。原始肖像最初由模型BLACK2BLOND操纵,用金发对肖像图像进行修饰。1在无效攻击之后,LaS-GSA将人类不可感知的扰动添加到原始图像并生成攻击图像,这导致Img 2Img GAN返回与原始图像相同的具有黑发的无效图像然而,Img2ImgGAN也被滥用来生成假图像,即[16]和[12]。例如,DeepNude擅长脱衣全身拍摄和制作逼真的裸体图像。面对这些不道德算法的威胁,一种简单的方法是在假图像发布后检测DeepFake内容[26,31然而,即使这些后检测方法可以捕捉到DeepFake的足迹,但操纵的图像已经损害了每个人我们的想法是首先通过取消被滥用的Img2Img GAN的翻译过程来保护个人隐私我们的目标是将人类无法察觉的扰动附加到输入图像上,这样就可以避免被攻击的图像被不道德地操纵(使用DeepFake生成淫秽图像)。因此,我们的目标是对滥用的Img2Img GAN进行对抗性攻击。16189∈ ∀ ∈GD为了开发针对滥用的Img2Img GAN的对抗性攻击,一种简单的方法是采用扭曲攻击[27,10],其扭曲Img2Img GAN的图像转换过程以生成恶意图像。然而,在这种情况下,它可能导致不可预测的结果。例如,如果扭曲攻击被应用于例如,DeepNude,扭曲的区域可能会出现在背景中,并且在裁剪后仍然会创建裸露的图像[32]。 因此,在本文中,我们介绍了一种新的攻击,即无效攻击,在黑盒设置。2与扭曲攻击相比,无效攻击旨在取消错误使用的Img2Img GAN的翻译过程,并生成与输入图像几乎相同的输出图像。图1说明了无效攻击,其中目标Img2Img GAN被我们的攻击方法创建的对抗性示例无效(稍后详细介绍)。1为了便于在黑盒设置中使攻击无效,一种方法是利用代理模型来近似梯度[19,24,11],即,最佳修改以生成成功的对抗示例。然而,为Img2Img GAN准备代理模型需要额外的计算资源,并且数据集需要被预处理并准备用于模型训练。3此外,当威胁模型是不道德的Img2Img GAN时,创建另一个具有类似于威胁模型的功能的代理模型在道德上是有问题的。另一方面,基于查询的攻击[6]通过查询目标模型并进行零阶优化来估计修改图像的梯度。然而,这种攻击是低效的,因为它们通常需要超过106查询,以优化调整每个像素的RGB图像。 虽然加速计划针对图像分类器的对抗攻击[30,1],针对Img2ImgGAN的对抗攻击更具挑战性,因为它需要将整个输出图像更改为视觉可区分的程度,而不是简单地更改图像分类中的一些标签[27]。为了解决上述挑战,我们引入极限感知自引导梯度滑动攻击(LaS-GSA)来有效地攻击Img 2 Img GAN。首先,我们证明了单纯地投影梯度,即剪切梯度[7,30]以实现人类无法察觉的修改对无效过程的正确性具有不利影响。因此,设计了一种极限感知策略,以避免在违反对抗极限的方向上查询梯度,即,广告的像素值限制2由于白盒攻击需要完整的威胁模型知识,包括模型架构和权重,因此我们将重点放在黑盒攻击上,这在现实世界的应用中更实用(例如Google Cloud Vision)[24,9]。3例如,训练CycleGAN模型涉及收集数千张相关图像和数百个具有107个参数的模型对的训练时期[33]。对抗性的例子来遵循不可感知的要求。然后,引入梯度滑动机制,使修改沿对抗极限的边界扩展,避免陷入极限边界,从而有效地实现无效攻击最后,通过研究Img2Img GANs的语义一致性,我们提出了可以直接从目标模型中提取的自引导先验同时,先验仍然获得有价值的信息,以便于在黑盒设置中进行无效本文的贡献如下:• 我们在Img 2 Img GANs上引入了一种新的对抗性攻击,即无效攻击,并提出了LaS-GSA来取消黑盒设置中的翻译过程• 我们调查的不利影响的对抗性限制的投影,并提出了限制意识的RGF和梯度滑动机制,以有效地减轻梯度估计过程中的危害。• 通过自引导先验,我们提供了一种有效的方案来从Img2Img GAN中提取先验信息,从而消除了对代理模型的需求。• 实验结果证明了LaS-GSA的有效性和效率相比,4个国家的最先进的方法3Img 2 Img GAN。2. 初步2.1. 图像到图像转换GANs图像到图像转换[2]的目标是学习将图像x从输入域X转换到目标域Y的映射T,即T(x)=y Y x X。由于生成对抗网络(GANs)[13]已被证明在合成真实图像方面是有效的,因此Img2Img GANs [15,18]已被广泛采用来开发最先进的图像到图像翻译模型。Img2Img GAN的目标如下,min max Ex,y[logD(x,y)]+ Ex[log(1−D(x,G(x)],(1)其中,生成器G学习将x转换成实际目标域样本,并且鉴别器D学习在实际y和转换的示例G(x)之间进行区分。 虽然训 练被允许 在监督 设置(例如 ,pix2pix[15])或在无监督设置[18]中,由于后者具有更高的通用性,我们首先探索后者。CycleGAN [33]是一种无监督的Img2Img GAN,它训练一对生成器G在源域和目标域之间双向翻译。在推理时间期间,我们采用指定方向上的训练生成器G作为目标平移函数T。述无效16190∈≈U我L∥·∥L≡ ∧ ∥ − ∥∥ − ∥2∞∞Σ攻击的目的是创建一个对抗图像x′x0,使得T无法将x′转换为y Y,但在转换后返回原始输入x0几乎不变2.2. 对抗攻击的投影梯度下降算法给定一个神经网络f(x)和一个输入输出对(x,y),对抗攻击的目标是找到一个ad-仅允许获取零阶信息,即,特定查询的系统输出。因此,为了适当地利用梯度下降优化,我们通过利用随机无梯度(RGF)估计来执行梯度的零阶估计[22]。RGF从单位球中随机选择查询向量ui,通过以下公式估计梯度gtQ对抗性示例x*,1)不生成预期输出f(x*)y,2)是合法图像,3)在gt =1L(xt+δui)−L(xt−δui)u,uq2δi=1∈ U,(5)以小范围为中心的范数有界区域以p范数测量的1,4即f(x*)=y,s.t. n∈[0,1]N ∧n−n n≤ n,(2)其中N是图像尺寸,[0,1]N是N-正交位,由每个像素的值的合理范围定义(即,前缀极限),且x*−x∞≤ε是以x为中心,半径ε在ε∞范数下测量的N-球面根据扰动是人类感觉不到的要求来定义(即,范数界限)。我们将两个极限的并集表示为对抗极限Ω[0,1]Nx*x∞(如图2(a)所示)。对抗性实例通过求解约束优化问题生成x*= arg min(x′),(3)x′∈Ω其 中 是 表 示 攻 击 目 标 的 对 抗 性 损 失 , 例 如 , 使Img2Img GAN的功能无效,并在转换后保持输入不变。要求解方程(3),已经提出了许多基于梯度的方法[5,20,28],其中投影梯度下降(PGD)被证明是仅依赖于一阶信息的最佳方法[20]。PGD迭代地进行梯度下降和投影以向最优前进,同时保持在约束区域内。具体地,设x*t和gt表示对抗样本和第t个样本迭代。t+1时的对抗性例子迭代变为其中δ是小方差。由方程式在等式(5)中,查询向量通过将它们自己的点积与梯度相乘而被翻转到梯度。因此,通过利用径向对称进行查询,与梯度正交的其他方向将在估计梯度的过程中被平衡,以有效地使攻击无效。3. 问题公式化对于Img2Img GANs,对抗性攻击目标通过相对于攻击目标ytarget移动图像平移过程的输出来自然地表达,其中对应的对抗性损失Ladv被定义为,Ladv(x*)=d(T(x*),ytarget),(6)其中d是平方欧几里德距离的函数,即,d(x,y)=(x y2)2。 通过最小化损失,攻击模型能够生成一个对抗性示例x*这使得平移函数返回类似于目标图像y_target的输出。在下文中,我们正式介绍无效攻击。5定义1. 无效攻击。无效攻击的目的是使图像转换过程无效,使得敌对示例xx被映射回原始输入x0,根据无效损失L Null= T(x*)− x02。成功的无效攻击可以作为个人形象上的水印,x*= Π( x*+ηg),g=L(x*t)、(四)GAN(例如,DeepNude)无法操作图像。6电话+1tt t∥∇L(x∗t)∥2其中Π是到对抗极限Ω上的投影运算,即将修改修剪回对抗限制[24]。2.3. 黑箱设置和随机无梯度估计4. LaS-GSA方法在下文中,我们介绍了极限感知自引导梯度滑动攻击(LaS-GSA)方案,一种新的黑盒对抗攻击,以有效地使Img 2 Img GAN的翻译过程无效。首先,调查了投影造成的不利影响,由于DeepFake模型通常是隐藏的,因此fying攻击自然发生在黑盒设置中,4p=2或是对抗性攻击的常见选择。在本文中,我们采用p=,因为它简化了投影像素的数值上限和下限。5与攻击仅交替单个输出标签的分类器[30]相比,攻击Img2ImgGAN更具挑战性,因为攻击模型需要确保106像素的正确性[33]。6我们讨论另一种攻击方案,扭曲攻击,它迫使该模型生成附录D中的劣化输出图像。我16191UPUPP−QP={x∈R:Σx= 1}。(九)U我我我(a) 左:灰色条表示像素值,外部黑框表示前缀限制(例如,[0,1]),红色框表示范数界极限(在∞中)。右:组合对抗限制用居中的像素值描绘。(b) 在RGF中,从单位圆(黑色)查询随机向量。在极限感知RGF中,查询向量被移位到原点中心椭圆(红色)。(c) 从s1=x*t开始,PGD移动到s2,而梯度滑动选择s4,更接近最优值(红色x)。图2:(a)对抗限制,(b)限制感知RGF和(c)梯度滑动机制的图示限制感知RGF和梯度滑动机制的引入,旨在减轻有害影响。然后,我们提出了自引导先验,通过导出真实梯度的近似解来充分利用威胁模型的先验信息,消除了对代理模型或额外数据集的要求[7]。最后,给出了LaS-GSA方法的攻击过程。4.1. 极限感知RGF虽然在先前的黑盒攻击方法中已经研究了RGF估计和PGD优化的组合[30,3,7],但是它们没有考虑投影的有害影响,即,剪切,修改回到对抗限制。虽然投影对于保持对抗示例有效并且与原始图像不可区分是必要的,但是它不仅使梯度估计过程的效率恶化,而且还缩短了对估计梯度的期望修改,因为投影拉回了越界梯度。因此,对抗性示例朝着不期望的方向被修改,这降低了PGD中的RGF估计过程和梯度下降过程两者的有效性。因此,我们从两个方面描述了投射的不利影响:i)梯度的错误方向,以及ii)优化步骤的缩短。对抗限制,即,Π(ui)=uiui→Π(g)=g。(七)通过检查对抗极限的凸性(详见附录A.3),估计的梯度不会超过极限。基于观察,我们调整等式中的单位N(5)通过将的基缩放成超椭球来遵循对抗极限。7具体地说,由于对抗极限Ω形成N-正交拓扑[2,24],我们仔细地将坐标系变换为:1)将原点设置为当前对抗示例x*t,2)采用每个像素作为独立基来构建RN空间的正交基。因此,Ω成为包含原点的轴对齐超矩形设Ωi表示N-正交位Ω第i个轴上的相应范围。为了保持径向对称,我们将比例矢量b定义为具有第i个元素bi的矢量,bi表示第i个像素的调整范围(以增加和减少像素值),即,bi=(+,−)/2,+max(i),−−min(i), (八)N2NiB2i=1i首先,我们证明了投影会误导DI-估计梯度的恢复,损害无效攻击过程的效率。如图2(b)所示,我们将单位N的球面缩放为超椭球。估计的梯度gt可以正式地写为如下:1.提案(证据见附录A.1。)投影1ΣL(x*+δu)−L(x−δu)我对梯度估计有不利影响,即,g·((g)−g)≤0。t=Qi=1Adv不iadv不2δui,ui∈ P.(十)为了减轻投影的不利影响,我们引入了限制感知RGF来查询以下向量7回想一下,在2.3节中,查询向量的查询空间被要求表现出无线电对称性。16192i=1≡ ∥∥−--Σ1∈0利用对抗极限的凸性,gt满足对抗极限,并通过调整像素值的增减范围来保持径向对称性。此外,通过添加尺度向量,受限制的像素被有效地挤压,并且因此对于受限制较少的像素可以促进更多的调整。4.2. 梯度滑动机构除了方向的估计梯度,我们证明了投影也缩短了梯度的步骤。第二个提案。(证明见附录A.2。)投影结果的绝对长度小于原始估计的梯度矢量r,i。例如, Π(g因此,我们提出了梯度滑动机制,将每个投影梯度步骤扩展为一系列滑动步骤siM,其中M是步骤的数量。如图2(c)所示,滑动步长不是被对抗极限捕获,而是沿着极限边界绕过。8我们仔细配置步骤,以便这些滑动步长的总长度大约是投影L之前的原始梯度步长ηg2. 在步骤t+ 1,梯度滑动机制从先前的adversariale*t和新的adversariale *t开始。在额外的数据集上训练的代理模型,准备代理模型在计算上是昂贵的相比之下,通过仔细研究无效过程,由于翻译过程的语义一致性,Img2Img GAN可以用作自我指导[33]。根据定义1,在第t步的无效攻击的梯度可以导出为:LNull(x*t)=2JT(T(x*t)−x0),(12)其中转置的雅可比矩阵JT乘以a差异向量,即,当前输出T(x*t)和输入图像x0之间的差值,对抗输出的期望变化[4](详见附录A.5)。由于Img2Img GAN的语义一致性[33],对每个输入像素的扰动主要影响输出中的相同像素[2]。因此,雅可比矩阵J是充分对角的,并且有希望用J. 9令a表示离散y向量T(x*t)x0。我们通过右乘差异来估计梯度向量到雅可比矩阵Ja。然而,Ja仅仅是将差异向量馈送到Img2Img GAN中的结果(在附录A.6中详细描述)。因此,我们得到了一个合适的自引导先验v,a2不示例Π(x*t+ηg)并迭代地根据ive ne xt滑动-从先前的两个滑动步骤,即,vJaδ不,a=a.(十三)s1=xt,s2=(xt+ηg),我li= max(0,l− <$sk−sk−1<$2),(11)k=1si= Π( si−1+ li·( si−1− si−2))。请注意,我们仍然采用滑动步长的投影来遵循对抗限制(详见附录A.4)。当轨迹长度之和超过l时,滑动过程终止。由于滑动步骤4.3. 自导引先验利用上述近似,我们将Jacobian转置JT找到自引导先验的时间复杂度从O(N2)显著降低到O(1),而无需利用额外的代理模型[7,21],有效地提高了无效攻击过程。4.4. 优化策略利用极限感知RGF、梯度滑动机制和自引导先验知识,提出了极限感知自引导梯度滑动攻击(LaS-GSA)的最终优化策略。通过查询偏向自引导先验v的随机向量u i,我们的自引导先验被集成到RGF和PGD框架中,ui=√λv+√1− λti,ti=(ξi−(v·ξi)v),ξi∈P,(14)其中ti=ti ,v(v )是预测先验,并且虽然我们已经通过以下方式解决了对抗限制tiv从极限感知超椭球查询以及执行梯度滑动机制,由于较大的搜索空间,即,对整个图像上的每个像素的每个可能的修改。虽然一些研究[7,21]使用了基于转移的先验,需要λ[0,1]控制查询u i朝向先验vi的偏差。将每个查询向量u,i插入到等式(1)中。 (5)估计梯度并在等式(5)中进行PGD过程。(四)、在每个梯度步骤之后,我们执行等式中的滑动步骤(十一)、利用这三种技术,LaS-GSA有效且高效地使目标Img2 Img GAN模型无效。伪代码在算法1中给出。8虽然梯度步长Π(ηg(t)是从估计的方程中的梯度ηgt(5)、滑动步长si(等式 (11))e沿着边界扩展梯度步长以重新获得ηgt的全长。9雅可比矩阵J的对角性在附录C中进行了评估。[10]最佳λ的解释和推导见附录B。16193←←.δ←←−← ∥ −∥prev∥ −∥x电流Q(T(x*)−x)2y0−x0算法1极限感知自引导梯度滑动攻击(LaS-GSA)要求:平移模型T、输入图像X〇、投影操作Π、采样方差δ、查询数量q、迭代次数e,滑动步数M,学习速率η。确保:对抗性示例x*1:x*x02:对于i= l至e,do选择100个i.i.d.测试样品[29]。每个威胁模型的训练集。11基线。所提出的LaS-GSA与4个国家的最先进的方法进行了比较。1)Bandit[14]采用时间相关的先验向量来指导采样过程。2)Square[1]在随机位置执行局部方形更新3)RGF[22]从单位N球随机采样查询向量。4)先验RGF[7]利用代理模型将RGF中的查询向量偏置为-3:aΠ(aa4:v←Π(v),a=T(x*)−x0,g←0,),v=1(T(x*+δ·a)−T(x*))向基于转移的先验向量估计12简体中文代理模型查询方差δ,范数界5:根据等式2找到b。(八)6:根据[7],用T,v,q估计λ*7:对于j= l至q,do8:来自单位N-球面U的均匀样本rj;9:ξj=b◦rj10:tj←√ξj−(v√ξj)v11:uj=λ*v+1−λ*tjΣ并且学习速率η被设置为0。001,0。1和1。为了提供用于优先RGF方法的转移优先级,为具有相同架构和条件的每个威胁模型准备代理模型。评价。为了评估不同攻击方案的结果,我们提出了一个面向任务的分数,即该明渠─十二:13:xg←g+1←x*,(T(x*+δuj)−x0)2−a2←Π(x*+η·1g),在分数为0时,Σ Σ216:ξmax(0,11,载玻片)17:如果ξ= 0,则18:中断19:xnext←Π(xcurr+ξ·(xprev−xcurr))20:x上一页←x当前页21:xcurr←x next22:lslidelslide+xcurrxprev223: x*xcurr24:返回x*5. 实验我们将LaS-GSA与4种最先进的黑盒对抗攻击方案进行了比较。所有攻击方法均针对与个人图像操作相关的3个Img2Img GAN实现:2人接受了特写肖像训练,1人接受了全身拍摄训练。我们首先介绍了实验装置。然后,我们提出了定量和定性评估的攻击结果和消融研究。5.1. 实验装置威胁模型。我们采用CycleGAN [18]作为以下威胁模型的默认Img 2 Img GAN架构:1)BLACK 2 BLOND,在HQ-CelebA数据集上训练[17],将黑发人翻译为金发,2 ) NONE 2 GLASSES , 为 肖 像 添 加 眼 镜 , 也 在 HQ-CelebA 数 据 集 上 训 练 , 3 ) BLUE 2 RED , 在 GoogleImage Search中为穿着蓝色和红色衬衫的人准备的干净图像数据集上训练,用于将蓝色衬衫翻译为红色衬衫。再说我们其中,原始平移距离y〇x〇2,y〇=T(x〇)充当归一化。在[32]之后,如果sNull(x*)大于阈值75,我们认为对抗示例x*成功。攻击成功率(ASR)定义为在100,000个查询预算中对测试图像的成功攻击的百分比。查询计数(Q)表示每个示例的平均尝试查询数(在超过阈值时停止)。5.2. 定量评价表1在针对每个威胁模型的100个测试图像的攻击成功率(ASR)和查询计数(Q)对于所有威胁模型,LaS-GSA在ASR和Q方面都优于所有其他方法。值得注意的是,对于某些威胁模型,Bandit攻击无法在100,000次与RGF相比,LaS-GSA在ASR和Q方面也始终实现了至少10%的更好性能,因为LaS-GSA仔细检查了裁剪效果并在有效攻击CycleGAN之前利用了自引导。即使Prior-RGF配备有代理模型,其具有在i.i.d.上训练的相同CycleGAN结构。测试- ING数据集估计先验,LaS-GSA仍然优于11在3个Img2Img GAN上无效攻击的附加定性结果,即 黑色2金发,无2眼镜 蓝色2红色 并扭曲-对3种模型进行攻击,即,STR2SEG、FACADE2LABEL和NIGHT2DAY见附录E。12在100i.i.d.上用相同的架构和程序训练替代模型原始训练集的样本。13阈值由50个用户的100个样本确定[32]。14:l←η·1g2,lslide←0sNull( x*)=1−02×100,(15)15:对于Qk= 1至Mdo16194模型方法黑色2黑色NONE2眼镜蓝色2红色ASRQ/(s)ASRQ/(s)ASRQ/(s)强盗[14]0%的百分比(二)百分之十90,0190%的百分比(五)广场[1]百分之二十三87,196百分之四十60,194百分之二十五80,778方法ASRQRGF百分之七十一53,237GSA百分之七十六48,849S-RGF百分之八十一49,743表1:针对Img2Img GAN的黑盒攻击的定量结果,限制为100,000次查询。我们报告攻击成功率(ASR)和查询计数(Q)所有100个测试样本。如果攻击在所有100个测试样品中失败,则平均最终得分用括号表示。表2:BLACK2BLOND的消融测试结果以及发作成功率(ASR)和查询计数(Q)。输入期望 LaS-GSA Prior-RGF RGF BanditSquare图3:比较模型BLACK2BLOND的攻击方法与对抗结果。预期输入40/1、05654/6、33167/10、55175/31、65194/100,000图4:LaS-GSA对BLACK2BLAND的攻击过程。从左到右:原始输入图像,预期的Img 2 Img GAN输出,以及LaS-GSA攻击的中间结果,得分(s)/查询数如下所示。关于ASR,先前RGF降低2%至17%。这是因为GANs的输出空间比图像分类器大得多[32],因此在不同模型之间传输梯度更具挑战性。5.3. 消融研究表2列出了BLACK2BLAND与RGF和我们的方法的四个变体,包括1)GSA:仅具有梯度滑动机制,2)S-RGF:仅具有自引导先验,3)S-GSA:具有自引导先验和梯度滑动机制,以及4)LaS-RGF:具有极限感知RGF和自引导先验两者。首先,与RGF相比,配备梯度滑动机制(*-GSA)的变体始终将ASR性能提高至少3%。此外,自引导先验增加了整体16195输入期望LaS-GSA图5:定性LaS-GSA攻击结果对模型BLACK2BLAND,NONE2GLASSES和RED2BLUE从上到下,每个呈现输入图像,每个模型的预期输出,以及应用LaS-GSA后的最终输出ASR提高到80%,并且极限感知RGF将ASR提高到85%。此外,查询计数(Q)的结果遵循类似的趋势,其中与RGF相比,LaS-GSA减少了20%的查询。注意,LaS-GSA比LaS-RGF高17。2%,因为梯度滑动机制仔细地估计对抗限制并且沿着约束边界延长优化步骤,从而导致更好的效率。5.4. 定性评价图3比较了攻击结果的视觉质量。与定量结果一致,Bandit和Square未能改变图像输出。正方形模糊了带有垂直条纹的图像,因为它们的机制有利于矩形扰动。对于BLACK2BLOND,虽然其他方法仅将头发颜色略微修改为棕色,但LaS-GSA是唯一一种使平移过程无效并返回黑色头发图像的方法,因为它有效地利用了极限感知梯度估计和梯度滑动机制,以确保在方向和长度上无效过程的正确性。虽然LaS-GSA与RGF和Prior-RGF相比在NONE2GLASSES和BLUE2RED上实现了类似的结果,如表1所示,但它需要更少的查询,因为自引导先验可以为修改方向提供有意义的指导。图4可视化了LaS-GSA对BLACK2BLOND的无效化过程,其将头发颜色从金色恢复到黑色。随着查询计数的增加,结果输出将年龄从金发变回黑发。我们观察到,无效得分sNull= 75就足够了,最多有30,000个查询。尽管如此,对于100,000个查询,无效攻击可以使对抗性输出更接近原始输入。最后,图5进一步呈现了每个威胁模型的2个我们的极限感知策略遵循对抗极限,并保持对抗扰动不可感知。使用无效攻击方案,LaS-GSA有效地创建 了 对 抗 性 示 例 , 导 致 模 型 BLACK2BLOND ,NONE2GLASSES和BLUE2RED生成生成与原始输入图像几乎相同的输出图像,取消相应的功能。更多定性结果见附录E。6. 结论在这项工作中,我们在黑盒设置中对Img2Img GAN引入了一种新的对抗性攻击,即Nullifying Attack,以防御恶意应用程序(例如,Deep- Fake)。我们提出了极限感知自引导梯度滑动攻击(LaS-GSA)方法,该方法结合了极限感知RGF,梯度滑动机制和自引导,以取消Img 2 Img GAN的图像平移过程。实验结果表明,我们提出的方法在3个不同的翻译过程中的有效性和效率。未来的工作包括减少Img2Img GAN针对安全关键型应用程序的对抗性攻击的脆弱性。16196联系我们引用[1] Maksym Andriushchenko , Francesco Croce , NicolasFlam-marion,and Matthias Hein.广场攻击:通过随机搜索的高效查询黑盒对抗攻击。欧洲计算机视觉会议,第484-501页Springer,2020年。二六七[2] Dina Bashkirova,Ben Usman,and Kate Saenko.周期一致gans的对抗性自我防御在神经信息处理系统的进展,第635二、四、五[3] Thomas Brunner,Frederik Diehl,Michael Truong Le,and Alois Knoll.猜聪明:有效黑盒对抗攻击的有偏采样。在IEEE计算机视觉国际会议论文集,第4958- 4966页,2019年。4[4] 塞缪尔·巴斯介绍了逆运动学与雅可比转置,伪逆和阻尼 最 小 二 乘 法 。 IEEE Journal of Robotics andAutomation,17(1- 19):16,2004. 5[5] 尼古拉斯·卡利尼和大卫·瓦格纳。评估神经网络的鲁棒性。2017年IEEE安全与隐私研讨会(SP),第39-57页。IEEE,2017年。三、十四[6] Pin-Yu Chen,Huan Zhang,Yash Sharma,Jinfeng Yi,and Cho-Jui Hsieh. Zoo:基于零阶优化的黑盒攻击,无需训练替代模型即可对深度神经网络进行攻击。在第10届ACM人工智能和安全研讨会的会议记录中,第15-26页,2017年。2[7] Shuyu Cheng,Yinpeng Dong,Tanyu Pang,Hang Su,and Jun Zhu.用基于转移的先验改进黑盒对抗攻击。神经信息处理系统的进展,第10932-10942页,2019年二四五六七十三十四[8] Marius Cordts , Mohamed Omran , Sebastian Ramos ,Timo Rehfeld,Markus Enzweiler,Rodrigo Benenson,Uwe Franke,Stefan Roth,and Bernt Schiele.用于语义城市场景理解的cityscapes数据集。 IEEE计算机视觉与模式识别会议(CVPR),2016年。16[9] 韩军戴、慧丽、田田、黄鑫、林旺、朱君、乐松。图结构化数据的对抗攻击。国际机器学习会议,第1115-1124页PMLR,2018。2[10] Ambra Demontis、Marco Melis、Maura Pintor、MatthewJagielski、Battista Biggio、Alina Oprea、Cristina Nita-Rotaru和Fabio Roli。为什么对抗性攻击会转移?解释逃避和中毒攻击的可转移性。第28届USENIX安全研讨会(USENIX Security 19),第321-338页,2019年。2[11] 董银鹏,庞天宇,苏航,朱军。通过平移不变攻击规避对可转移对抗样本的防御。在IEEE计算机视觉和模式识别会议论文集,第4312-4321页,2019年。2[12] github/lwlodo.官方deepnude算法源代码,2019年7月。1[13] Ian Goodfellow 、 Jean Pouget-Abadie 、 Mehdi Mirza 、Bing Xu 、 David Warde-Farley 、 Sherjil Ozair 、 AaronCourville和Yoshua Bengio生成性对抗网。 在神经信息处理系统的进展,第2672一、二[14] Andrew Ilyas,Logan Engstrom,and Aleksander Madry.先前定罪:与土匪和前科进行黑箱对抗性攻击在2018年学习代表国际会议上。六、七[15] Phillip Isola,Jun-Yan Zhu,Tinghui Zhou,and Alexei AEfros.使用条件对抗网络的图像到图像翻译。在IEEE计算机视觉和模式识别会议论文集,第1125-1134页,2017年。2[16] Mousa Tayseer Jafar、Mohammad Ababneh、MohammadAl-Zoube和Ammar Elhassan。Deepfake视频的取证和分析 。2020 年 第 11 届 信 息 与 通 信 系 统 国 际 会 议(ICICS),第053-058页。IEEE,2020年。1[17] Tero Karras , Timo Aila , Samuli Laine , and JaakkoLehtinen.为提高质量、稳定性和变异性而进行的干细胞生长。在2018年学习代表国际会议6[18] Ming-Yu Liu,Thomas Breuel,and Jan Kautz.无监督图像到图像翻译网络。神经信息处理系统的进展,第700-708页,2017年。二、六[19] Yanpei Liu,Xinyun Chen,Chang Liu,and Dawn Song.深入研究可转移的对抗性例子和黑盒攻击。在2017年第五届学习表征国际会议。2[20] Aleksander Madry 、 Aleksandar Makelov 、 LudwigSchmidt、Dimitris Tsipras和Adrian Vladu。迈向抵抗对抗性攻击的深度学习模型。在国际会议上学习表示(ICLR),2018年。三、五[21] Niru Maheswaranathan 、 Luke Metz 、 George Tucker 、Dami Choi和Jascha Sohl-Dickstein。引导进化策略:用替代梯度增强随机搜索。2019年国际机器学习会议(ICML)。5[22] 尤里·涅斯捷罗夫和弗拉基米尔·斯波科尼凸函数的随机无 梯 度 极 小 化 FoundationsofComputationalMathematics,17(2):527-566,2017. 三六七[23] Lu k´sˇNeumann , MichelleKa r g , ShanshanZhang ,Chris-tian Scharfenberger , Eric Piegert , Sarah Mistr ,Olga Proko- fyeva , Robert Thiel , Andrea Vedaldi ,Andrew Zisserman,et al. Nightowls:一个夜间行人数据集。亚洲计算机视觉会议,第691-705页。Springer,2018. 16[24] Nicolas Papernot、Patrick McDaniel、Ian Goodfellow、Somesh Jha、Z Berkay Celik和Ananthram Swami。针对机器学习的实际黑盒攻击。在2017年ACM亚洲计算机和通信安全会议的会议记录中,第506-519页,2017年。二、三、四[25] Deepak Pathak 、 Philipp Krahenbuhl 、 Jeff Donahue 、Trevor Darrell和Alexei A Efros。上下文编码器:通过图像 修 复 进 行 特 征 学 习 。 在 Proceedings of the IEEEconference on computer vision and pattern recognition,pages 2536-2544,2016中。116197[26] Andreas Rossler、Davide Cozzolino、Luisa Verdoliva、Chris- tian Riess 、 Justus Thies 和 Matthias Nießner 。Faceforen- sics++:学习检测被操纵的面部图像。在CVPR中,第1-11页,2019年。1[27] Nataniel Ruiz,Sarah Adel Bargal,and Stan Scaroff.破坏性的deepfakes:针对条件图像翻译网络和面部操作系统的对抗性攻击参见ECCV,第236-251页。Springer,2020年。2[28] Christian Szegedy、Wojciech Zaremba、Ilya Sutskever、Joan Bruna 、 Dumitru Erhan 、 Ian J Goodfellow 和 RobFergus。神经网络的有趣特性。2014年国际学习表征会议(ICLR)。3[29] 罗汉·陶里,阿莫格·卡姆赛提,布伦顿·朱,尼基塔·维穆里.黑盒音频系统的针对性对抗示例2019年IEEE安全和隐私研讨会(SPW),第15-20页IEEE,2019。6[30] Chun-Chen Tu,Paishun Ting,Pin-Yu Chen,Sijia Liu,Huan Zhang,Jinfeng Yi,Cho-Jui Hsieh,and Shin-MingCheng.Autozoom:基于自动编码器的零阶优化方法,用于攻击黑盒神经网络。在AAAI人工智能会议论文集,第33卷,第742-749页,2019年。二、三、四、十三、十四[31] Sheng-Yu Wang , Oliver Wang , Richard Zhang ,Andrew Owens,and Alexei
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 5
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- C++多态实现机制详解:虚函数与早期绑定
- Java多线程与异常处理详解
- 校园导游系统:无向图实现最短路径探索
- SQL2005彻底删除指南:避免重装失败
- GTD时间管理法:提升效率与组织生活的关键
- Python进制转换全攻略:从10进制到16进制
- 商丘物流业区位优势探究:发展战略与机遇
- C语言实训:简单计算器程序设计
- Oracle SQL命令大全:用户管理、权限操作与查询
- Struts2配置详解与示例
- C#编程规范与最佳实践
- C语言面试常见问题解析
- 超声波测距技术详解:电路与程序设计
- 反激开关电源设计:UC3844与TL431优化稳压
- Cisco路由器配置全攻略
- SQLServer 2005 CTE递归教程:创建员工层级结构
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功