对抗攻击8——CW(Carlini Wagner)
Carlini and Wagner引入了一系列攻击来寻找最小化不同相似性度量的对抗扰动:L0L_0L0、L2L_2L2和L∞L_{\infty}L∞等。核心观点是将类似于BFGS攻击的一般约束优化策略转化为无约束优化公式中经验选择的损失函数:LCW(x′,t)=max(maxi≠t{Z(x′)(i)}−Z(x′)(t),−κ)\mathcal{L}_{C W}\left(x^{\prime}, t\right)=\max \left(\max _{i \neq t}\left\{Z\left(x^{\prime}\right)_{(i)}\right\}-Z\left(x^{\prime}\right)_{(t)},-\kappa\right) LCW(x′,t)=max(i=tmax{Z(x′)(i)}−Z(x′)(t),−κ)其中,Z(x(i)′)Z(x^{\prime}_{(i)})Z(x(i)′)表示分类器logits向量的第iii个分量,ttt表示目标标签,而κ\kappaκ表示反映对抗样本的最小期望置信度的参数。
从概念上讲,这个损失函数最小化了ttt类和第二大类之间的logit值的距离。如果ttt当前具有最高的logit值,则logit的差值将为负,因此当ttt和第二类之间的logit差值超过阈值κ\kappaκ时,优化将停止。如果ttt不具有最高logit值,则最小化L(x0,t)L(x_0,t)L(x0,t)使得和目标类别的logit之间的差距更接近,即,降低最高类别预测置信度和/或增加目标类别置信度。
此外,κ\kappaκ参数建立了最佳情况下的停止准则,其中对抗类的logit至少比第二大类的logit要大。因此,κ\kappaκ明确地为目标对手编码了最小期望的鲁棒性程度。L2L_2L2的C&WC \& WC&W攻击公式如下所示:
argminw(∥x′(w)−x∥22+c⋅LCW(x′(w),t))where x′(w)=12(tanh(w)+1),\arg \min _{w}\left(\left\|x^{\prime}(w)-x\right\|_{2}^{2}+c \cdot \mathcal{L}_{C W}\left(x^{\prime}(w), t\right)\right) \quad \text { where } x^{\prime}(w)=\frac{1}{2}(\tanh (w)+1), argwmin(∥x′(w)−x∥22+c⋅LCW(x′(w),t)) where x′(w)=21(tanh(w)+1),
其中www是样本变量,例如x′=12(tanh(w)+1)x^{\prime}=\frac{1}{2}(\tanh (w)+1)x′=21(tanh(w)+1),这样可以使得样本x′x^{\prime}x′控制在区间[0,1][0,1][0,1]之间。超参数ccc的最小值通过外部优化循环程序来选择。
L0L_0L0 C&WC\&WC&W攻击比L2L_2L2变体复杂得多,因为它的相关距离度量是不可微分的。作者提出了一种迭代策略来连续地消除不重要的输入特征,从而可以通过扰动尽可能少的输入特征来实现明模型误分类。在初始化期间,一个允许的集合SSS被定义为包括xxx中的所有输入特征。接下来,在每次迭代时,在仅扰动SSS中的特征的约束下,执行L2L_2L2攻击。
如果攻击成功,则识别下一个非重要特征iii并从SSS集合中被移除,其中i∗=argminig(i)⋅r(i),g=∇x′LCW(x′,t)i^{*}=\arg \min_i g_{(i)} \cdot r_{(i)},g=\nabla_{x^{\prime}} \mathcal{L}_{C W}\left(x^{\prime}, t\right)i∗=argminig(i)⋅r(i),g=∇x′LCW(x′,t),并且有r=x′−xr=x^{\prime}-xr=x′−x。
类似于L0L_0L0的C&WC\&WC&W攻击,L∞L_{\infty}L∞攻击变体也需要迭代算法,因为L∞L_{\infty}L∞度量不是完全可微的。其优化目标如下:
argminr(c⋅LCW(x+r,t)+∑imax(0,r(i)−τ))\arg \min _{r}\left(c \cdot \mathcal{L}_{C W}(x+r, t)+\sum_{i} \max \left(0, r_{(i)}-\tau\right)\right) argrmin(c⋅LCW(x+r,t)+i∑max(0,r(i)−τ))其中参数κ\kappaκ被初始化为1,如果r(i)<κr_{(i)}< \kappar(i)<κ,则每次迭代后参数κ\kappaκ减少0.9倍,直到没有发现对抗样本。简言之,该策略连续地将对抗扰动的大小限制在连续更小的κ\kappaκ上。
对抗攻击8——CW(Carlini Wagner)相关推荐
- 《繁凡的论文精读》(一)CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击(清华朱军)
点我一文弄懂深度学习所有基础和各大主流研究方向! <繁凡的深度学习笔记>,包含深度学习基础和 TensorFlow2.0,PyTorch 详解,以及 CNN,RNN,GNN,AE,GAN, ...
- CVPR 2019 | 针对人脸识别系统的高效黑盒对抗攻击算法
本工作提出了一种高效的基于决策的黑盒对抗攻击算法,在业内第一次以完全黑盒的方式成功地实现对人脸识别系统的对抗攻击.本工作由腾讯 AI Lab 主导,与清华大学,香港科技大学联合完成,发表于 CVPR ...
- 对抗样本之CW原理coding
目录 1 引言 2 算法详解 2.1 常人思路 2.2 CW算法思路 3 攻击直观对比 4 总结 5 附录 1 引言 本文采用手稿模拟的角度,尽量使读者较为直白的面对冷冰冰的公式. 抛去CW算法不谈. ...
- 繁凡的对抗攻击论文精读(二)CVPR 2021 元学习训练模拟器进行超高效黑盒攻击(清华)
点我轻松弄懂深度学习所有基础和各大主流研究方向入门综述! <繁凡的深度学习笔记>,包含深度学习基础和 TensorFlow2.0,PyTorch 详解,以及 CNN,RNN,GNN,AE, ...
- 对抗攻击与防御 (1):图像领域的对抗样本生成
文章目录 1 引入 2 白盒攻击 2.1 Biggio 2.2 Szegedy's limited-memory BFGS (L-BFGS) 2.3 Fast gradient sign method ...
- 联邦学习 深度学习对抗攻击
联邦学习本身 "联邦学习" 实际上是一种加密的分布式机器学习技术,参与各方可以在不披露底层数据和底层数据的加密(混淆)形态的前提下共建模型. 如果机构之间的数据无法互通,一家企业一 ...
- 联邦学习本身+机器视觉中深度学习所面临的对抗攻击
目录 联邦学习本身 对抗攻击中的一些术语: 现有攻击方法(实验室) 针对分类阶段 Box-constrained L-BFGS Fast Gradient Sign Method (FGSM) Bas ...
- 对抗攻击Adversarial Attack
参考链接: (1)对抗攻击常见方法汇总 https://blog.csdn.net/qq_43367558/article/details/121694626 (2)对抗性样本攻击方法汇总 https ...
- 任奎:人工智能算法安全浅析——深度学习中的对抗攻击与防御
2020-05-19 19:52:46 任奎 随着计算机产业发展带来的计算性能与处理能力的大幅提高,人工智能在音视频识别.自然语言处理和博弈论等领域得到了广泛应用.在此背景下,确保人工智能的核心--深 ...
最新文章
- C语言-变量生存期及作用域
- DCFNET: DISCRIMINANT CORRELATION FILTERS NETWORK FOR VISUAL TRACKING
- 谈及未来的 AI, 也许你已身处其中 —— 记 InfoQ 对青云QingCloud 联合创始人林源的采访...
- python __set__ __get___python3面对像进阶——描述符(__get__,__set__,__delete__)
- Python min() 方法
- 诗与远方:无题(五十七)
- Fedora 17配置ssh及Windows远程连接
- MOQL--操作数(Operand) (四)
- Python爬虫(三)--百度贴吧
- java面试之简述一下 Java 垃圾回收机制?
- 求n从1到20阶乘的和(即1+2!+3!+4!+...+20!)
- 华为以“平台应变”之道角逐数字化转型“深水区”
- 【项目经理产品经理简历套话】工作经历和项目经历的套话
- 一文理解 ISO、快门、光圈、曝光概念 以及 光圈、焦距与景深的关系
- JumpServer 堡垒机安装踩坑
- Java小项目——家庭记账软件
- 二阶振荡衰减 matlab,MATLAB下二阶系统单位阶跃响应.doc
- MIKE 21 教程 2.9 初始条件(Initial Conditions),边界条件Boundary Conditions),解耦(Decoupling)
- Libnet简单学习
- Adobe Acrobat 部分文件无法删除的解决办法