Towards Transferable Targeted Attack 论文笔记
00 Abstract
作者指出,对抗样本的一个内在属性就是它的可迁移性。而对于无目标攻击,有目标攻击生成可迁移样本更加困难。主要原因有二:
- 噪声固化现象:在迭代攻击过程中,由于所添加的噪声是每次迭代中梯度动量的累积,这导致成功的扰动在迭代的过程中相似度很高,因此噪声的多样性和可适应性缺乏,导致可迁移性低。
- 仅仅让对抗样本靠近目标分类,而没有远离原真实分类是不够的。
为克服这两个问题,论文提出引用 Poincaré distance 作为相似度度量,使得梯度的大小在迭代攻击过程中自适应,以减轻噪声固化现象。并且论文在迭代攻击过程中远离真实标签,来获得更好的迁移性。
01 Introduction
论文主要贡献如下:
- 与简单的扩展无目标攻击相比,论文发现并提出有目标攻击与无目标攻击不同的特殊属性。这使得我们得到一个可以提高有目标攻击的表现的新方法。
- 正式的提出有目标攻击的噪声固化问题。第一次引入 Poincaré space 作为度量空间,代替softmax cross entropy 来解决噪声固化问题。
- 论文还指出,可以利用真实标签信息作为附加,使用triplet loss,来帮助对抗样例远离原分类。
02 Background
Adversarial Attack
本论文的基础模型为 momentum iterative FGSM,它整合了动量项到攻击的迭代过程中来确保噪声添加的方向更加平滑。
其他 transferable targeted adversarial examples:最大化目标分类的probability。
但仍缺少针对黑盒模型的可迁移的、有效的、有目标攻击。
Poincaré Ball
参考博客:https://zhuanlan.zhihu.com/p/68104722
Poincaré Ball 的示意图如下:
在 Poincaré Ball 示意图中,每个点之间的距离是相等的,也就是说,当弧线接近圆周时,它就接近平面的“无穷远”,这意味着当你向球的 surface 移动时,则距离呈指数增长。
该论文中,使用 Poincaré Ball 这个空间来代替欧几里得标准空间。相比较而言,Poincaré Ball 可以将整个几何图形拟合到半径一个单位的球中,这意味着它比欧几里得表示方法有更好的表示能力。
Poincaré Ball 的所有点都集中在一个n维的 l2 单元球中,其上两点 u、v 之间的距离可以表示为:
其中,u 和 v 是两个 n维欧几里得空间内 l2范数小于 1 的点。δ(u,v)可以定义为:
这个公式意味着,当 ||u||2 或 ||v||2 趋近于 1 时,距离会变得无限大,即该点趋近于球面边缘。
Methodology
Motivation
有目标攻击和无目标攻击有两个关键的不同之处:
- 有目标攻击需要找到目标类别对抗样本的(局部)最小值
- 无目标攻击只需避免被 poor local maxima 捕获,并逃离决策边界即可。
噪声固化现象对于无目标攻击是一个好的属性,因为它能够帮助逃离决策边界。但对于有目标攻击来讲,当求解(局部)最小值时,固化的噪声并不能有效的取到最小,所以会导致有目标攻击表现不佳。甚至如果输出的目标分类可能性接近1,会导致softmax的饱和,当input变化很大时,梯度只变化一点。这会导致最后的迭代过程中错误不断累积。
Targeted Attack with Poincaré Distance Metric
标记 y 为 one hot encoded 标签。由于 ||y||2=1,所以 y 点位于 Poincaré ball 的边缘。任何点与 y 点的距离都为 ∞ 。接下来我们将要减少这个距离。
使用 Poincaré Distance 作为测量仍存在一个严重的问题,对于样本点 x 的分类结果 l(x) 我们要满足他的二范数小于1(根据距离定义),因此我们使用它的 l1 范数进行标准化。对于目标标签 y,由于它接近无穷,故减去一个 ξ = 0.0001 方便计算。因此最后的 Poincaré Distance Metric loss 为:
其中,l(x) 为多种模型的权重整合,K为整合的模型数:
且
使用 Poincaré metric 之后,梯度大小只有在靠近目标分类的时候才会上升。这代表梯度是自适应的,使得噪声的方向更加灵活。
Triplet Loss for Targeted Attack
使用 Triplet Loss 来使得对抗样本远离原分类。
由于 l(xadv) 没有标准化,所以我们使用角距离来作为距离测量:
最后我们总体的 loss 函数为:
Experiments
上图证明了,poincare metric 相比较 cross entropy 较好的解决了噪声固化问题,在高迭代次数时仍保持了较高的梯度。
本文仅为个人论文笔记,若理解有误,敬请指出!多谢!
Towards Transferable Targeted Attack 论文笔记相关推荐
- Poison Ink: Robust and Invisible Backdoor Attack 论文笔记
1. 论文信息 论文名称 Poison Ink: Robust and Invisible Backdoor Attack 作者 Jie Zhang(中国科学技术大学) 会议/出版社 IEEE Tra ...
- CLIP论文笔记--《Learning Transferable Visual Models From Natural Language Supervision》
CLIP论文笔记--<Learning Transferable Visual Models From Natural Language Supervision> 1.Introducti ...
- 论文笔记:CLIP:Learning Transferable Visual Models From Natural Language Supervision详解
paper:https://arxiv.org/abs/2103.00020 代码:GitHub - openai/CLIP: Contrastive Language-Image Pretraini ...
- [读论文]CAAD-2018 Targeted Attack方向季军技术报告
这次分享的是CAAD-2018比赛中Northwest Security团队的技术报告,该团队在此次比赛中取得了了targeted Attack 方向第三名,non-targeted Attack方向 ...
- 论文笔记目录(ver2.0)
1 时间序列 1.1 时间序列预测 论文名称 来源 主要内容 论文笔记:DCRNN (Diffusion Convolutional Recurrent Neural Network: Data-Dr ...
- 【论文笔记09】Differentially Private Hypothesis Transfer Learning 差分隐私迁移学习模型, ECMLPKDD 2018
目录导引 系列传送 Differentially Private Hypothesis Transfer Learning 1 Abstract 2 Bg & Rw 3 Setting &am ...
- 论文笔记【A Comprehensive Study of Deep Video Action Recognition】
论文链接:A Comprehensive Study of Deep Video Action Recognition 目录 A Comprehensive Study of Deep Video A ...
- 【Data Privacy顶会论文笔记汇总】
Data Privacy顶会论文笔记汇总 联邦学习调研benchmark 汇总 FL 数据集.FL 安全-攻防方面.FL 图卷积.FL 系统.FL医疗.个性化 FL.FL + NLP 一. 属性推理攻 ...
- 【论文笔记】Birthday, Name and Bifacial-security Understanding Passwords of Chinese Web Users
title: "[论文笔记]Birthday, Name and Bifacial-security Understanding Passwords of Chinese Web Users ...
最新文章
- 绩效真的重要吗?绩效管理系统有哪些?
- JavaScript面向对象编程之Singleton类
- HTML 5 的自定义 data-* 属性和jquery的data()方法的使用
- linux之head命令
- runtime_mysql_users_proxysql的配置系统
- 阿里云视频直播PHP-SDK接入教程
- Linux-常用软件源整理
- ZFAKA最新版最简安装教程
- 大学生适合学习的软件 网站推荐
- 2020大疆校招B卷第二题
- 什么是数据库索引,索引有什么作用
- LeetCode(力扣)_接雨水
- 设计师和程序员必备:全世界最著名的 icon 网站都在这了
- C语言实现24点小游戏
- 关于CH375芯片的简介以及其与51单片机的连接
- html5背景图片铺满整个背景
- 笑着离开惠普读书笔记
- 数字化风控体系中的八类数据场景模型
- jquery php抽奖转盘,JQuery+PHP转盘抽奖程序源码下载
- U3D实现2048小游戏(含源码)