CVPR2022:通过基于神经元属性的攻击提高对抗迁移性

已于 2022-09-30 15:01:38 修改
阅读量1.1k 收藏 12
点赞数 1
分类专栏: 论文解读 文章标签: 深度学习 机器学习 人工智能
于 2022-05-12 10:15:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38406029/article/details/124610222
版权

1 引言

该论文是关于对抗样本可迁移性攻击的文章。现有的特征级攻击通常会采用不准确的神经元重要性估计,这样会降低了对抗样本的可迁移性。在该论文中,作者提出了基于的神经元属性的对抗攻击,它通过更准确的神经元重要性估计来进行特征级攻击。首先将模型的输出完全归因于中间层的每个神经元。然后,作者推导了神经元属性的近似方案,以极大地减少计算开销。最后,根据神经元的属性结果对神经元进行加权,并发起特征级攻击。实验结果也证实了论文中方法优越性。论文的代码已经开源。
论文链接: https://arxiv.org/abs/2204.00008
代码链接: https://github.com/jpzhang1810/NAA

2 论文方法

特征级别的攻击在生成对抗样本的过程中会破坏掉积极的特征从而扩大消极的特征。因此,由特征级别生成的对抗样本可有继承误导其它深度学习模型的高迁移性特征。特征级别攻击的关键在于找到一个合适的方式去度量每一个神经元的重要程度。在该论文中作者引入了一个度量神经元重要程度的度量方式,名为神经元属性,此外作者还基于神经元重要程度提出了基于神经元属性的攻击方式。
x x x为干净样本,它对应的真实标签为 z z z F ( ⋅ ) F(\cdot) F()为一个分类模型,则 F ( x ) F(x) F(x)表示为 x x x的输出。 y y y表示第 y y y层的激活值,其中 y j y_j yj表示在这个特征图中第 j j j个神经单元的激活值。 x a d v x^{adv} xadv表示对抗样本,且有 ∥ x − x a d v ∥ p < ε \|x-x^{adv}\|_p<\varepsilon xxadvp<ε,其中 ∥ ⋅ ∥ p \|\cdot\|_p p表示 p p p范数, ε \varepsilon ε为对抗扰动。
 给定一个基准图像 x ′ x^{\prime} x,作者可以定义输入图片 x ∈ R N × N x\in \mathbb{R}^{N\times N} xRN×N的属性为 A : = ∑ i = 1 N 2 ( x i − x i ′ ) ∫ 0 1 ∂ F ∂ x i ( x ′ + α ( x − x ′ ) ) d α A:=\sum\limits_{i=1}^{N^2}(x_i-x^{\prime}_i)\int_0^1\frac{\partial F}{\partial x_i}(x^{\prime}+\alpha(x-x^{\prime}))d\alpha A:=i=1N2(xixi)01xiF(x+α(xx))dα其中 ∂ F ∂ x i ( ⋅ ) \frac{\partial F}{\partial x_i}(\cdot) xiF()表示 F F F关于第 i i i个像素的偏导数。上公式说明 F F F的梯度是沿着给定的直线路径 ( x ′ + α ( x − x ′ ) ) (x^{\prime}+\alpha(x-x^{\prime})) (x+α(xx))进行积分的。根据路径积分的微积分基本定理可以得到,只有当 F ( x ′ ) ≈ 0 F(x^{\prime})\approx 0 F(x)0时,会有 A ≈ F ( x ) A\approx F(x) AF(x),即 x ′ = 0 x^{\prime}=0 x=0是一张全黑图像,上述结论成立。
x α = x ′ + α ( x − x ′ ) x_\alpha=x^{\prime}+\alpha(x-x^{\prime}) xα=x+α(xx),则第 y y y层的第 y j y_j yj个神经元的属性为 A y j = ∑ i = 1 N 2 ( x i − x i ′ ) ∫ 0 1 ∂ F ∂ y j ( y ( x α ) ) ∂ y j ∂ x i ( x α ) d α A_{y_j}=\sum\limits_{i=1}^{N^2}(x_i-x_i^{\prime})\int^1_0\frac{\partial F}{\partial y_j}(y(x_\alpha))\frac{\partial y_j}{\partial x_i}(x_\alpha)d\alpha Ayj=i=1N2(xixi)01yjF(y(xα))xiyj(xα)dα其中 ∑ y j ∈ y A y j = A \sum\limits_{y_j\in y}A_{y_j}=A yjyAyj=A在选定每一层都成立。因此,神经元属性反映了每个神经元到输出真实的影响。为了实际中复杂的积分计算,作者在直线路径中采样了 n n n个虚拟样本,并使用黎曼加和去估计该积分,然后改变加和的顺序则有:
A y j ≈ 1 n ∑ m = 1 n ( ∂ F ∂ y j ( y ( x m ) ) ) ( ∑ i = 1 N 2 ( x i − x i ′ ) ∂ y j ∂ x i ( x m ) ) A_{y_j}\approx \frac{1}{n}\sum\limits_{m=1}^n\left(\frac{\partial F}{\partial y_j}(y(x_m))\right)\left(\sum\limits_{i=1}^{N^2}(x_i-x^{\prime}_i)\frac{\partial y_j}{\partial x_i}(x_m)\right) Ayjn1m=1n(yjF(y(xm))) i=1N2(xixi)xiyj(xm) 其中 x m = x ′ + m n ( x − x ′ ) x_m=x^{\prime}+\frac{m}{n}(x-x^{\prime}) xm=x+nm(xx)是路径上虚拟的图像。
考虑到神经网络中神经元的数量非常大,所以计算成本会非常高,为了降低计算复杂度,作者在上公式中做了一个简单的假设进而简化公式。一开始时, ∂ F ∂ y j ( y ( x m ) ) \frac{\partial F}{\partial y_j}(y(x_m)) yjF(y(xm)) F ( x ) F(x) F(x)关于 y j y_j yj的梯度,同时 ∑ i = 1 N 2 ( x i − x i ′ ) ∂ y j ∂ x i ( x m ) \sum\limits_{i=1}^{N^2}(x_i-x_i^{\prime})\frac{\partial y_j}{\partial x_i}(x_m) i=1N2(xixi)xiyj(xm) y j y_j yj关于每个像素 x i x_i xi梯度的加和,作者假定这两个梯度是线性独立的。
给定两个相互独立的序列 a i a_i ai b i b_i bi,则有 ∑ i = 1 n ( a i − a ˉ ) ( b i − b ˉ ) = 0 \sum\limits_{i=1}^n(a_i-\bar{a})(b_i-\bar{b})=0 i=1n(aiaˉ)(bibˉ)=0,其中 ( ⋅ ˉ ) (\bar{\cdot}) (ˉ)表示的是序列均值。进一步则有, ∑ i = 1 n a i ⋅ b i = 1 n ∑ i = 1 n a i ∑ i = 1 n b i \sum\limits_{i=1}^na_i\cdot b_i=\frac{1}{n}\sum\limits_{i=1}^na_i\sum\limits_{i=1}^nb_i i=1naibi=n1i=1naii=1nbi,可以将以上公式的两个大括号分别看成 a a a b b b,于是可以得到如下公式
A y j ≈ 1 n ∑ m = 1 n ∂ F ∂ y j ( y ( x m ) ) 1 n ∑ m = 1 n ∑ i = 1 N 2 ( x i − x i ′ ) ∂ y j ∂ x i ( x m ) A_{y_j}\approx \frac{1}{n}\sum\limits_{m=1}^n\frac{\partial F}{\partial y_j}(y(x_m))\frac{1}{n}\sum\limits_{m=1}^n\sum\limits_{i=1}^{N^2}(x_i-x_i^{\prime})\frac{\partial y_j}{\partial x_i}(x_m) Ayjn1m=1nyjF(y(xm))n1m=1ni=1N2(xixi)xiyj(xm)根据路径积分的基本定理可知 1 n ∑ m = 1 n ∑ i = 1 N 2 ( x i − x i ′ ) ∂ y j ∂ x i ( x m ) = ( y j − y ′ ) \frac{1}{n}\sum\limits_{m=1}^n\sum\limits_{i=1}^{N^2}(x_i-x^\prime_i)\frac{\partial y_j}{\partial x_i}(x_m)=(y_j-y^{\prime}) n1m=1ni=1N2(xixi)xiyj(xm)=(yjy)其中 y j ′ y^{\prime}_j yj是第 j j j个神经元的激活值,其此时输入的图像是黑色图像。令 y j − y j ′ y_j-y^{\prime}_j yjyj Δ y j \Delta y_j Δyj,并且 1 n ∑ m = 1 n ∂ F ∂ y j ( y ( x m ) ) \frac{1}{n}\sum\limits_{m=1}^n\frac{\partial F}{\partial y_j}(y(x_m)) n1m=1nyjF(y(xm))被看做融合注意力 I A ( y j ) IA(y_j) IA(yj),一个简单的形式为 A y j = Δ y j ⋅ I A ( y j ) A_{y_j}=\Delta y_j\cdot IA(y_j) Ayj=ΔyjIA(yj) I A ( y j ) IA(y_j) IA(yj)反映了从基准图像到输入的直线上梯度的积分与神经元 y j y_j yj的关系。
综上所述可以发现,原本神经元属性的计算复杂度为 O ( H ∗ W ∗ C ) \mathcal{O}(H*W*C) O(HWC),其中 H H H是目标层的高, W W W是目标层的宽, C C C是目标层通道数,而作者提出的方法计算复杂度为 O ( 1 ) \mathcal{O}(1) O(1),在每一个梯度整合的步骤中只需要一个梯度操作,如果不进行简化,则在每一个步骤中则需要进行1百万次梯度操作;因此可知论文中的简化方法大大降低了计算复杂度。考虑第 y y y层所有神经元属性的计算公式为 A y = ∑ y j ∈ y A y j = ∑ y j ∈ y Δ y j ⋅ I A ( y j ) = ( y − y ′ ) ⋅ I A ( y ) A_y=\sum\limits_{y_j\in y}A_{y_j}=\sum\limits_{y_j\in y}\Delta y_j \cdot IA(y_j)=(y-y^{\prime})\cdot IA(y) Ay=yjyAyj=yjyΔyjIA(yj)=(yy)IA(y)

生成对抗样本的过程中有用的特征被抑制,有害的特征则会被放大。为了分析这两种特征的影响,作者试图找出哪一种特征主导了对抗样本的可迁移性,利用一个超参数 γ \gamma γ来平衡正面和负面属性,此外,作者还区分不同值的神经元属性的显著程度。例如,当调查减少一个大的积极属性神经元是否比增加一个小的消极属性神经元更有利于攻击。为此,作者设计了多个线性或非线性变换函数,即 f p ( A y j ) f_p(A_{y_j}) fp(Ayj),用于积极的神经元属性和 − f n ( − A y j ) −f_n(−A_{y_j}) fn(Ayj)用消极神经元属性。因此,目标层 y y y上所有神经元的加权属性 W A y W A_y WAy可以被计算为
W A y = ∑ A y j ≥ 0 , y j ∈ y f p ( A y j ) − γ ⋅ ∑ A y j < 0 , y j ∈ y f n ( − A y j ) WA_y=\sum\limits_{A_{y_j}\ge 0,y_j\in y}f_p(A_{y_j})-\gamma\cdot\sum\limits_{A_{y_j}<0,y_j\in y}f_n(-A_{y_j}) WAy=Ayj0,yjyfp(Ayj)γAyj<0,yjyfn(Ayj)最小化目标函数 W A y W A_y WAy是要比直接最小化函数 A y A_y Ay要好,因为 W A y W A_y WAy同时考虑了神经元极性和数值两方面。因此优化目标可以整理为如下所示: min ⁡ x a d v W A y s . t .   ∥ x − x a d v ∥ ∞ < ε \min\limits_{x^{\mathrm{adv}}}WA_y \quad \mathrm{s.t.}\text{ }\|x-x^{\mathrm{adv}}\|_{\infty}<\varepsilon xadvminWAys.t. xxadv<ε其中作者利用动量迭代的方法去求解以上优化问题,具体的算法流程图如下所示:

3 实验结果

如下表所示为论文中的方法与与baseline方法在无防御模型,对抗训练模型和加载防御模型的分别在白盒和黑盒条件下的攻击效果。可以发现在白盒条件下,论文中的方法的攻击成功率接近100%;在黑盒条件下,该方法也比其它的方法有更高的攻击迁移率。

另外作者还比较了带输入变换的攻击方法的效果,其中输入变换方法分别是PIM和DIM。如下表所示为带输入变换的不同的攻击方法在无防御模型,对抗训练模型和加载防御模型的分别在白盒和黑盒条件下的攻击效果。可以发现在黑盒条件下,论文中方法比其它的方法有更高的攻击迁移率。

如下图所示为消融实验的实验结果,作者主要分析了目标特征层,积分步数 n n n和权重系数 γ \gamma γ对迁移攻击成功率的影响。右下图的结果可知,对于不同的目标特征层可以发现,中间的目标特征层的迁移攻击成功率最高,说明中间特征层的特征对迁移攻击成功率有更大的影响。对于积分步数 n n n来说,当 n = 30 n=30 n=30时可以达到最好的效果。对于权重系数 γ \gamma γ来说,可以发现当 γ = 1 \gamma=1 γ=1时,迁移攻击成功率达到最优的效果,由此可知,正面特征和负面特征同等重要。

4 代码

"""Implementation of attack."""
# coding: utf-8
import os
import torch
import torchvision.transforms as T
import torch.nn as nn
import torchvision
from torch.utils.data import Dataset
import csv
import numpy as np
import pretrainedmodels
import PIL.Image as Image
import ssl
from matplotlib import pyplot as plt
import numpy as np 
import argparse

ssl._create_default_https_context = ssl._create_unverified_context

os.environ['CUDA_VISIBLE_DEVICES']='0'
parser = argparse.ArgumentParser()
parser.add_argument('--epsilon', type=float, default=16)
parser.add_argument('--T_niters', type=int, default=10)
parser.add_argument('--alpha', type=float, default=1.6)
parser.add_argument('--steps', type=int, default=10)
parser.add_argument('--mu', type=float, default=1.0)
parser.add_argument('--batch_size', type=int, default=4)
parser.add_argument('--gamma', type=float, default=1.0)
parser.add_argument('--target_layer', type=str, default='layer2')
parser.add_argument('--save_dir', type=str, default = 'test/')
parser.add_argument('--model_name', type=str, default='resnet')

args = parser.parse_args()



os.environ['TORCH_HOME']=r'F:\code\Imagenet\model'

def compute_bound(mean, std):
	channel1_low_bound = (0 - mean[0]) / std[0]
	channel1_hign_bound = (1 - mean[0]) / std[0]
	channel2_low_bound = (0 - mean[1]) / std[1]
	channel2_hign_bound = (1 - mean[1]) / std[1]
	channel3_low_bound = (0 - mean[2]) / std[2]
	channel3_hign_bound = (1 - mean[2]) / std[2]
	bound = [channel1_low_bound, channel1_hign_bound, channel2_low_bound, channel2_hign_bound, channel3_low_bound, channel3_hign_bound]
	return bound


def inv_img(img, mean, std):
	img[:,0,:,:] = img[:,0,:,:] * std[0] + mean[0]
	img[:,1,:,:] = img[:,1,:,:] * std[1] + mean[1]
	img[:,2,:,:] = img[:,2,:,:] * std[2] + mean[2]
	return img


class SelectedImagenet(Dataset):
	def __init__(self, imagenet_val_dir, selected_images_csv, transform=None):
		super(SelectedImagenet, self).__init__()
		self.imagenet_val_dir = imagenet_val_dir
		self.selected_images_csv = selected_images_csv
		self.transform = transform
		self._load_csv()
	def _load_csv(self):
		reader = csv.reader(open(self.selected_images_csv, 'r'))
		next(reader)
		self.selected_list = list(reader)[0:100]
	def __getitem__(self, item):
		target, target_name, image_name, _ = self.selected_list[item]
		image = Image.open(os.path.join(self.imagenet_val_dir, image_name))
		if image.mode != 'RGB':
			image = image.convert('RGB')
		if self.transform is not None:
			image = self.transform(image)
		return image, int(target)
	def __len__(self):
		return len(self.selected_list)


class NAA(object):
	def __init__(self, epsilon, alpha, steps, T_niters, mu, gamma,  target_layer, bound, device):
		self.epsilon = epsilon
		self.steps = steps
		self.T_niters = T_niters
		self.alpha = alpha 
		self.bound = bound
		self.device = device
		self.mu = mu
		self.gamma = gamma
		self.target_layer = target_layer
		self.bound = bound

	def attack(self, model, ori_img, label):

		gradients = []
		def hook_backward(module, grad_input, grad_output):
			gradients.append(grad_output[0].clone().detach())

		Handle_backward = []
		for layer_name, layer in model.named_children():
			if layer_name ==  self.target_layer:
				backward_hook = layer.register_full_backward_hook(hook_backward)
				# Handle_backward.append(backward_hook)


		baseline = torch.zeros_like(ori_img).to(self.device)
		for i in range(self.steps):
			img_tmp = baseline + (float(i) / self.steps) * (ori_img - baseline)
			img_tmp.requires_grad_(True)
			output = model(img_tmp)
			output_label = output.gather(1, label.view(-1,1)).squeeze(1)
			grad = torch.autograd.grad(output_label, img_tmp, grad_outputs = torch.ones_like(output_label), retain_graph = True, create_graph=True)

		Intergrated_Attention = sum(gradients) / self.steps

		backward_hook.remove()



		# for handle in Handle_backward:
		# 	handle.remove()
		# features = []
		# def hook_forward(module, input, output):
		# 	features.append(output.clone().detach())
		# forward_hook = model.layer2.register_forward_hook(hook_forward)
		# _ = model(baseline)
		# base_feature = features[0]
		# forward_hook.remove()	


		x_input = ori_img.clone().detach()


		loss = 0

		g_t = torch.zeros_like(x_input)
		model_children = torchvision.models._utils.IntermediateLayerGetter(model, {self.target_layer: 'feature'})
		x_adv = x_input.clone().detach()
		for t in range(self.T_niters):
			x_adv.requires_grad_(True)
			base_feature = model_children(baseline)['feature']
			x_feature = model_children(x_adv)['feature']
			attribution = (x_feature - base_feature) * Intergrated_Attention
			blank = torch.zeros_like(attribution)
			positive = torch.where(attribution >= 0, attribution, blank)
			negative = torch.where(attribution < 0, attribution, blank)
			## Transformation: Linear transformation performs the best 
			positive = positive
			negative = negative
			balance_attribution = positive + self.gamma * negative
			loss = torch.sum(balance_attribution) 
			loss.backward()
			grad = x_adv.grad
			g_t = self.mu * g_t + grad / torch.norm(grad, p=1, dim = [1,2,3], keepdim = True)
			x_adv = x_adv - self.alpha * torch.sign(g_t)

			x_adv = torch.where(x_adv > ori_img + self.epsilon, ori_img + self.epsilon, x_adv)
			x_adv = torch.where(x_adv < ori_img - self.epsilon, ori_img - self.epsilon, x_adv)

			x_adv[:,0,:,:]= torch.clamp(x_adv[:,0,:,:], self.bound[0], self.bound[1])
			x_adv[:,1,:,:]= torch.clamp(x_adv[:,1,:,:], self.bound[2], self.bound[3])
			x_adv[:,2,:,:]= torch.clamp(x_adv[:,2,:,:], self.bound[4], self.bound[5])

			x_adv = x_adv.detach()
			print(x_adv - ori_img)
		return x_adv


if __name__ == '__main__':

	steps = args.steps
	T_niters = args.T_niters
	alpha = args.alpha / (255 * 0.225)
	epsilon = args.epsilon /(255 * 0.225)
	mu = args.mu
	gamma = args.gamma
	target_layer = args.target_layer
	model_name = args.model_name
	batch_size = args.batch_size
	save_dir = args.save_dir

	if torch.cuda.is_available():
		device = torch.device('cuda')
	else:
		device = torch.device('cpu')


	if model_name == 'squeezenet':
		model = torchvision.models.squeezenet1_0(pretrained=True)
	elif model_name == 'vgg':
		model = torchvision.models.vgg19(pretrained=True)
	elif model_name == 'inception':
		model = torchvision.models.inception_v3(pretrained=True)
	elif model_name == 'senet':
		model =  pretrainedmodels.__dict__['senet154'](num_classes=1000, pretrained='imagenet')
	elif model_name == 'resnet':
		model = torchvision.models.resnet50(pretrained=True)
	elif model_name == 'densenet':
		model = torchvision.models.densenet121(pretrained=True)
	else:
		print('No implemation')


	if model_name in ['squeezenet', 'resnet', 'densenet', 'senet' ,'vgg']:
		input_size = [3, 224, 224]
	else:
		input_size = [3, 299, 299]

	model.eval()
	model.to(device)


	mean = (0.485, 0.456, 0.406)
	std = (0.229, 0.224, 0.225)
	norm = T.Normalize(tuple(mean), tuple(std))
	resize = T.Resize(tuple((input_size[1:])))

	bound = compute_bound(mean, std)

	trans = T.Compose([
			T.Resize((256,256)),
			T.CenterCrop((224,224)),
			resize,
			T.ToTensor(),
			norm
			])

	dataset = SelectedImagenet(imagenet_val_dir='data/imagenet/ILSVRC2012_img_val',
								selected_images_csv='data/imagenet/selected_imagenet.csv',
								transform=trans
								)

	ori_loader = torch.utils.data.DataLoader(dataset, batch_size=batch_size, shuffle=False, num_workers = 0, pin_memory = False)

	attack_type = NAA(epsilon, alpha, steps, T_niters, mu, gamma, target_layer, bound, device)

	label_ls = []
	for ind, (ori_img , label) in enumerate(ori_loader):
		label_ls.append(label)
		ori_img = ori_img.to(device)
		label = label.to(device)

		img_adv = attack_type.attack(model, ori_img, label)

		print('successful')


		predict = model(ori_img)
		predict_adv = model(img_adv)
		predicted = torch.max(predict.data, 1)[1]
		predicted_adv = torch.max(predict_adv.data, 1)[1]


		print('label:', label)
		print('predict:', predicted)
		print('predict_adv:', predicted_adv)

		img_adv = inv_img(img_adv, mean, std)

		np.save(save_dir + '/batch_{}.npy'.format(ind), torch.round(img_adv.data*255).cpu().numpy().astype(np.uint8()))

		del img, ori_img, img_adv
		print('batch_{}.npy saved'.format(ind))

	label_ls = torch.cat(label_ls)
	np.save(save_dir + '/labels.npy', label_ls.numpy())
	print('images saved')
构建AI Agent的对抗学习机制:提高鲁棒性
AI天才研究院
03-15 784
随着人工智能技术的快速发展,AI Agent在各个领域得到了广泛应用,如游戏、自动驾驶、机器人控制等。然而,这些AI Agent在实际应用中往往面临各种不确定性和攻击,其鲁棒性成为了一个关键问题。本文章的目的是深入探讨如何构建AI Agent的对抗学习机制,以提高其在复杂环境下的鲁棒性。具体范围涵盖了对抗学习机制的核心概念、算法原理、数学模型、实际应用场景等方面,通过理论分析和项目实战相结合的方式,为读者提供全面的技术指导。
CVPR 2022 中科院、腾讯提出LAS-AT,利用“可学习攻击策略”进行“对抗训练”
我爱计算机视觉
03-22 1270
关注公众号,发现CV技术之美▊1引言由中科院,腾讯AI实验室以及香港中文大学联合出品的硬核对抗训练的新作LAS-AT发表于CVPR2022对抗训练被认为是抵御对抗攻击最有效的防御方法,它通常会被描述为求解一个极小极大问题,其性能取决于内部优化生成对抗样本的质量。目前在对抗训练中主流采用的攻击算法是PGD攻击,该算法需要人为手动指定攻击参数,有研究表明在对抗训练的不同...
提高对抗性迁移能力,通过基于神经元归属的攻击方法(CVPR 2022
我爱计算机视觉
05-12 710
关注公众号,发现CV技术之美本篇文章分享CVPR 2022 论文『Improving Adversarial Transferability via Neuron Attribution-Based Attacks』,通过基于神经元归属的攻击提高对抗性迁移能力。详细信息如下:论文链接:https://arxiv.org/abs/2204.00008项目链接:https:...
Improving Adversarial Transferability via Neuron Attribution-Based Attacks
weixin_49171105的博客
09-05 1504
在本文中,我们提出了基于神经元归因的攻击 (NAA),它通过更准确的神经元重要性估计来进行特征级攻击。由于最小化输出神经元的总归因可以同时减少积极归因和扩大消极归因,我们考虑由计算的同一层神经元的所有归因。最后一个因素是加权归因,包括γ, fp(·)和fn(·),以检验不同极性和值的神经元归因的重要性。首先,神经元归因为神经元重要性的建模提供了一种简单而有效的方法,它反映了真实的归因对输出的影响。此外,独立假设简化了神经元归属的表示,同时提高了生成的对抗示例的可转移性。...
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
最新发布
10-13
Improving Adversarial Transferability via Neuron Attribution-Based Attacks.pdf
中科院与腾讯联合出品CVPR2022新作:LAS-AT利用可学习攻击策略进行对抗训练
欢迎来到道的世界
03-18 1196
3 论文方法 3.1 方法概述 xadv=x+δ←g(x,a,w)x_{adv}=x +\delta \leftarrow g(x,a,w)xadv​=x+δ←g(x,a,w) 3.2 对抗训练公式化表述 min⁡wE(x,y)∼DL(fw(xadv),y)\min\limits_{w}\mathbb{E}_{(x,y)\sim \mathcal{D}}\mathcal{L}(f_w(x_{adv}),y)wmin​E(x,y)∼D​L(fw​(xadv​),y) min⁡wE(x,y)∼D[max⁡θEa
对抗样本-(CVPR 2022)-通过基于对象多样化输入来提高有针对性对抗样本的可迁移性
算法探索之路
04-11 654
本文提出了一种新的方法来生成有针对性的对抗样本,该方法通过使用多种不同的输入图像来生成更加丰富和多样化的图像。具体而言,该方法使用对象-多样化输入(ODI)技术来将同一种类的多幅图像合并成一个输入,并使用迭代FGSM攻击来生成有针对性的对抗样本。实验结果表明,与传统的FGSM攻击相比,采用ODI方法生成的对抗样本在准确率下降的条件下更具有鲁棒性和可迁移性。采用ODI方法生成的对抗样本具有更好的鲁棒性和可迁移性,能够有效克服当前对抗攻击存在的一些弱点。代打有些语法错误 思路没问题。
繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
繁凡さん的博客
04-17 6356
文章目录Simulating Unknown Target Models for Query-Efficient Black-box Attacks [1]为查询有效的黑盒攻击模拟未知目标模型Abstract0x01 论文总结2. Related Works3. Method3.1. Task Generation3.2. Simulator Learning3.3. Simulator Attack3.4. Discussion4. Experiment4.1. Experiment Setting4.2.
CVPR 2022 论文列表(持续更新)
热门推荐
gbstack08的专栏
03-05 1万+
本文包括论文链接及代码 关注公众号:AI基地,及时获取最新资讯,学习资料 GitHub链接:GitHub - gbstack/cvpr-2022-papers: CVPR 2022 papers with code 因为CSDN的markdown编辑器限制,文本多了保存会卡死。大家尽量到上面的GitHub链接去看吧。 CVPR2022 Papers (Papers/Codes/Demos) 分类目录: 1. 检测 2. 分割(Segmentation) 3. 图像处理(Image Pro
繁凡的对抗攻击论文精读(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军)
繁凡さん的博客
12-24 2774
《繁凡的论文精读》(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军) Efficient Decision-based Black-box Adversarial Attacks on Face Recognition
CVPR2022】Stealthy and Effective Physical-world Adversarial
B站搜索 馆主君晓 欢迎关注~
03-18 4341
本文首发于馆主君晓的博客:https://guanzhujx.com/archives/cvpr-2022-stealthy-and-effective-physical-world-adversarial 2022CVPR,阴影也能变得很危险,对抗样本攻击,论文原文:https://arxiv.org/abs/2203.03818v2 背景介绍   这篇文章是2022年的CVPR,是哈尔滨工业大学和清华大学联合发表的文章。传统模式对抗样本的生成是基于源模型并且使用梯度上升的方式使得我们生成的扰动能够使
直播预告 | CVPR 2022论文解读:基于可学习攻击策略的对抗训练
Paper weekly
05-31 773
本期 AI Drive,我们邀请到中国科学院信息工程研究所博士生加小俊,为大家在线解读其发表在 CVPR 2022 的最新研究成果。本次报告的主题为「LAS-AT基于可学习攻击策略的对抗训练」。对本期主题感兴趣的小伙伴,5 月 31 日(本周二)晚 7 点,我们准时相约 PaperWeekly 直播间。直播信息对抗训练通常被描述为一个 minimax 的优化问题,其性能取...
CVPR 2022 | 子空间对抗训练
Paper weekly
05-31 672
©PaperWeekly 原创 ·作者 |鬼谷子研究方向 |GAN图像生成、情绪对抗样本生成引言该论文是关于一篇对抗训练的文章,论文的代码已经开源。对抗训练是一种可以有效抵御对抗攻击的方法,然而其存在一个严重问题,即在训练过程中,模型会出现过拟合现象,PGD 攻击的鲁棒精度突然会下降到 0%。在该论文中,作者从一种新的优化角度来处理这个问题,作者首先揭示了每个样本的...
CVPR对抗攻击与防御 思路清奇!Person Re-Identification Based on Color Attack and Joint Defence 代码已开源!亲测有效!
qq_23440751的博客
03-06 1240
ReID的主要挑战是不同相机条件下颜色偏差引起的类内变化。同时,我们发现大多数现有的对抗性度量攻击是通过干扰样本的颜色特征来实现的。基于这一观察结果,我们首先提出了一种基于颜色变化的局部变换攻击(LTA)。它使用更明显的颜色变化来随机干扰检索图像的颜色,而不是添加随机噪声。实验结果表明,所提出的LTA方法性能优于现有的先进攻击方法。此外,考虑到轮廓特征是对抗训练鲁棒性的主要因素,颜色特征将直接影响攻击成功率。为此,我们进一步提出了联合对抗防御(JAD)方法,包括主动防御和被动防御。
#今日论文推荐#AAAI 2022 | 对抗攻击鲁棒的异质图神经网络
w1hsxn的博客
08-17 310
本文介绍了对于异质图神经网络 HGNN 的对抗攻击鲁棒性研究,并分析了其弱点的原因。
​ICLR 2022 | 基于积分梯度的迁移对抗攻击
Paper weekly
06-14 1162
©PaperWeekly 原创 ·作者 |鬼谷子引言该论文是关于黑盒对抗攻击的工作。论文中作者提出了一种基于积分梯度的可迁移性攻击算法(TAIG),该算法可以生成高可迁移性对抗样本。作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的 TAIG。实验结果表明,论文中提出的方法...
CVPR2022,RealBasicVSR,MMEditing复现,使用REDS数据集模拟进行迁移训练
欢迎一起成长呀
08-14 6423
包括环境搭建、数据集下载、数据集准备、代码实现、模型保存、常见报错及解决办法、部分参数调整,CVPR2022,RealBasicVSR,MMEditing复现,使用REDS数据集模拟进行迁移训练
迁移学习中的后门攻击
Yale的博客
09-07 1663
#前言 一般的后门攻击技术,其攻击场景具有非常明显的假设:攻击者能够控制模型的训练过程、训练集,在训练得到毒化模型后直接将其提供给用户,用户上手就用。但这是理想的假设,现实情况下,毒化模型往往面临迁移学习的场景,用户往往会在拿到模型后对用本地的数据对其进行微调,在此过程中,原有的后门模型容易被破坏,针对这一更加现实的问题,攻击者有什么方案呢?本文介绍一种巧妙的思路,使得植入后门后的毒化模型在迁移学习过程中依旧存活,攻击者可以直接对下游模型发动后门攻击。该技术来自信息安全big4之一ccs,2019,论文名为
论文笔记(三)《Enhancing the Transferability of Adversarial Attacks through Variance Tuning》
qq_39667860的博客
05-03 452
《通过方差调整来增强对抗攻击的可转移性》 一、Abstract In this work, we propose a new method called variance tuning to enhance the class of iterative gradient based attack methods and improve their attack transferability. 在本文中,我们提出了一种新的方法,称为方差调优,以增强基于迭代梯度的攻击方法,并提高它们的攻击可转移性。 we f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

道2024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值