ICLR2022:基于积分梯度的迁移对抗攻击

1 引言

该论文是关于黑盒对抗攻击的工作。论文中作者提出了一种基于积分梯度的可迁移性攻击算法(TAIG),该算法可以生成高可迁移性的对抗样本。作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法TAIG中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的TAIG。实验结果表明,论文中提出的方法生成了高迁移性的对抗样本,并且可以与以前的方法进行无缝协同工作,而且TAIG的性能优于现有的方法。论文代码目前已经开源了。
论文链接: https://arxiv.org/abs/2205.13152
代码链接: https://github.com/yihuang2016/TAIG
ICLR2022:基于积分梯度的迁移对抗攻击

2 预备知识

ICLR2022:基于积分梯度的迁移对抗攻击是一个分类器网络,该网络将输入ICLR2022:基于积分梯度的迁移对抗攻击映射成输出向量,其中输出向量的第ICLR2022:基于积分梯度的迁移对抗攻击个元素表示的是logit层第ICLR2022:基于积分梯度的迁移对抗攻击个输出单元;ICLR2022:基于积分梯度的迁移对抗攻击表示的是网路将输入ICLR2022:基于积分梯度的迁移对抗攻击映射成第ICLR2022:基于积分梯度的迁移对抗攻击类的输出值,即ICLR2022:基于积分梯度的迁移对抗攻击,其中ICLR2022:基于积分梯度的迁移对抗攻击表示的是转置操作。ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击分别表示干净样本和对抗样本,其中ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击分别表示的是干净样本和对抗样本的第ICLR2022:基于积分梯度的迁移对抗攻击个像素。ICLR2022:基于积分梯度的迁移对抗攻击是输入ICLR2022:基于积分梯度的迁移对抗攻击的类别。
积分梯度是一种将深度神经网络的预测归因于其输入特征的方法,其计算的属性表示每个像素对网络输出的重要性,也可以看作是注意值和显著值。积分梯度主要基于两个公理发展而来,即灵敏度和实现不变性,并且满足另外两个公理,即线性性和完备性。积分梯度是从参考图像ICLR2022:基于积分梯度的迁移对抗攻击到输入图像ICLR2022:基于积分梯度的迁移对抗攻击的梯度的线性积分。输入ICLR2022:基于积分梯度的迁移对抗攻击的第ICLR2022:基于积分梯度的迁移对抗攻击个像素的积分梯度定义为ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击表示的是ICLR2022:基于积分梯度的迁移对抗攻击的第ICLR2022:基于积分梯度的迁移对抗攻击个像素,且ICLR2022:基于积分梯度的迁移对抗攻击一般会选取黑色图像。完备性公理表示ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击之间的距离等于ICLR2022:基于积分梯度的迁移对抗攻击之和ICLR2022:基于积分梯度的迁移对抗攻击为了简化符号,ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击被用作表示ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击被用作表示ICLR2022:基于积分梯度的迁移对抗攻击

3 基于积分梯度的可迁移性攻击

作者提出了无目标攻击的基于积分梯度的可迁移攻击两个版本的算法。第一种方法基于原始积分梯度,在直线路径上进行积分。该版本称为基于直线路径上积分梯度的可迁移攻击(TAIG-S),其攻击方程定义为ICLR2022:基于积分梯度的迁移对抗攻击其中积分梯度是从ICLR2022:基于积分梯度的迁移对抗攻击的标签ICLR2022:基于积分梯度的迁移对抗攻击计算得来的,ICLR2022:基于积分梯度的迁移对抗攻击表示的是控制步长。第二个版本称为基于随机分段线性路径积分梯度的可迁移攻击(TAIG-R)。令ICLR2022:基于积分梯度的迁移对抗攻击是一个随机分段线性路径,ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击个分段点,其中ICLR2022:基于积分梯度的迁移对抗攻击是初始点,ICLR2022:基于积分梯度的迁移对抗攻击是终止点。从ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击的线段部分被定义为ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击。当计算线段的积分梯度时,ICLR2022:基于积分梯度的迁移对抗攻击表示为参考图片,整个路径的积分梯度被定为如下所示ICLR2022:基于积分梯度的迁移对抗攻击根据随机分段线性路径计算的积分梯度称为随机路径积分梯度(RIG),并且RIG仍然满足完整性公理:ICLR2022:基于积分梯度的迁移对抗攻击随机路径中的转折点ICLR2022:基于积分梯度的迁移对抗攻击由以下公式所得ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击是一个服从ICLR2022:基于积分梯度的迁移对抗攻击均匀分布的随机向量,TAIG-R的攻击方程式如下所示ICLR2022:基于积分梯度的迁移对抗攻击除了将在TAIG-S中的ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击所替,其它的与TAIG-S一样。与PGD和BIM一样,TAIG可以进行迭代。在TAIG中使用符号函数ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击之间的距离由ICLR2022:基于积分梯度的迁移对抗攻击范数所测量。作者主要从优化的角度解释TAIG,然后从注意力分布和平滑性的角度解释TAIG。利用完备性公理,ICLR2022:基于积分梯度的迁移对抗攻击的最小化公式可以写成ICLR2022:基于积分梯度的迁移对抗攻击因为ICLR2022:基于积分梯度的迁移对抗攻击是独立于ICLR2022:基于积分梯度的迁移对抗攻击,所以它可以被忽略。对于ReLU网络,以下公式可以被证明
ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击的第ICLR2022:基于积分梯度的迁移对抗攻击个分量为ICLR2022:基于积分梯度的迁移对抗攻击具体的证明如下所示。

证明: 对于ReLU神经网络,ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击个分量被证明如下所示:ICLR2022:基于积分梯度的迁移对抗攻击考虑如下公式ICLR2022:基于积分梯度的迁移对抗攻击使用乘积法则可以得到ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击时,则有ICLR2022:基于积分梯度的迁移对抗攻击;否则有ICLR2022:基于积分梯度的迁移对抗攻击。因此则有如下公式ICLR2022:基于积分梯度的迁移对抗攻击在ReLU神经网络中可知ICLR2022:基于积分梯度的迁移对抗攻击进而则有ICLR2022:基于积分梯度的迁移对抗攻击又因为ICLR2022:基于积分梯度的迁移对抗攻击所以最后则有ICLR2022:基于积分梯度的迁移对抗攻击

使用微分的定义计算ICLR2022:基于积分梯度的迁移对抗攻击关于ICLR2022:基于积分梯度的迁移对抗攻击的微分如下所示:ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击中除了第ICLR2022:基于积分梯度的迁移对抗攻击个元素为1,其它元素全是ICLR2022:基于积分梯度的迁移对抗攻击。使用向后差分法可以近似得到ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击,根据完备性公理,如果一个对抗样本ICLR2022:基于积分梯度的迁移对抗攻击且有对于任意的ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击,则有ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击表示的是一个黑色图片。对抗样本的网络输出和黑色图像是一样的,这也暗示着对抗样本有一个高概率去被误分类。ICLR2022:基于积分梯度的迁移对抗攻击表示在ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击的斜率。ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击被分别看作是样本ICLR2022:基于积分梯度的迁移对抗攻击和目标对抗样本第ICLR2022:基于积分梯度的迁移对抗攻击个分量的积分梯度。目标积分梯度ICLR2022:基于积分梯度的迁移对抗攻击被设置为ICLR2022:基于积分梯度的迁移对抗攻击目的是对网络输出没有贡献,进而则有ICLR2022:基于积分梯度的迁移对抗攻击其中ICLR2022:基于积分梯度的迁移对抗攻击是正定的,TAIG-S使用的是ICLR2022:基于积分梯度的迁移对抗攻击的符号函数。作者得到以下结论:1)ICLR2022:基于积分梯度的迁移对抗攻击被用作去近似ReLU网络中的ICLR2022:基于积分梯度的迁移对抗攻击;2)近似的质量依靠于ICLR2022:基于积分梯度的迁移对抗攻击值,所以ICLR2022:基于积分梯度的迁移对抗攻击ICLR2022:基于积分梯度的迁移对抗攻击没有必要的值足够近。为了能够保证ICLR2022:基于积分梯度的迁移对抗攻击的最小化,作者选择后向差分而不是前向差分。

4 实验结果

如下图所示为定性的实验结果,下图显示了来自不同网络的原始图像的积分梯度,从左到右分别来自ResNet50、InceptionV3和DenseNet121的原始图像和相应的积分梯度。
ICLR2022:基于积分梯度的迁移对抗攻击

下图显示了TAIG-S和TAIG-R攻击前后的积分梯度,第一行是原始图像和攻击前后的IG。第二行是原始图像和攻击前后的装备。从左到右的图像是原始图像、图像的原始IG、TAIG-S攻击后的IG和TAIG-R攻击后的IG。结果来自ResNet50。,这表明不同模型对相同图像具有相似的积分梯度,并且TAIG-S和TAIG-R方法可以显著修改积分梯度。
ICLR2022:基于积分梯度的迁移对抗攻击

下表列出了无目标多步攻击的实验结果。可以发现论文中提出的TAIG-S方法要显著优于AOA和SI,但弱于LinBP。除了SENet之外,所提出的TAIG-R在所有模型中都优于所有最先进的方法。
ICLR2022:基于积分梯度的迁移对抗攻击

如下表所示,论文中提出的方法TAIG-R的平均攻击成功率为70.82%,比排名第二的LinBP高出25.61个百分点,而且论文中提出的方法TAIG-R在攻击先进防御模型方面优于所有最先进的方法。
ICLR2022:基于积分梯度的迁移对抗攻击

由于TAIG-S和TAIG-R方法几乎相同,除了计算积分梯度的路径和TAIG-R在之前的实验中优于TAIG-S之外,作者将ICLR2022:基于积分梯度的迁移对抗攻击设置为16/255,下表表明TAIG-R在不同的代理模型上表现相似。
ICLR2022:基于积分梯度的迁移对抗攻击

如下表结果所示,论文中提出的TAIG-S方法和TAIG-R方法有效地增强了其他方法的可转移性。与其它实验一样,TAIG-S方法和TAIG-R方法的表现也是最好的。
ICLR2022:基于积分梯度的迁移对抗攻击

5 总结

论文中出现的生词
completeness: 完备性piecewise: 分段
segment: surrogate: 代替

文章出处登录后可见!

已经登录?立即刷新

共计人评分,平均

到目前为止还没有投票!成为第一位评论此文章。

(0)
上一篇 2022年6月1日 上午11:28
下一篇 2022年6月1日 上午11:30

相关推荐

本站注重文章个人版权,不会主动收集付费或者带有商业版权的文章,如果出现侵权情况只可能是作者后期更改了版权声明,如果出现这种情况请主动联系我们,我们看到会在第一时间删除!本站专注于人工智能高质量优质文章收集,方便各位学者快速找到学习资源,本站收集的文章都会附上文章出处,如果不愿意分享到本平台,我们会第一时间删除!