CVPR2020 Adversarial Attack Defense Summary(Part 1)

2024-03-05 01:32

本文主要是介绍CVPR2020 Adversarial Attack Defense Summary(Part 1),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Alleviation of Gradient Exploding in GANs: Fake Can Be Real

解决问题:GAN的梯度爆炸、模式崩溃问题。

解决方法:在一个mini batch 中 close pairs 多的位置选取假样本,认定其为真样本,再进行训练,来有效防止不平衡分布的产生(FARGAN)。
在这里插入图片描述

Cooling-Shrinking Attack: Blinding the Tracker with Imperceptible Noises

解决问题:提出一种以无模型方式攻击单目标跟踪器的有效方法。论文中主要攻击的是基于 SiameseRPN 的跟踪器。

解决方法:由于在相邻两帧中,跟踪器目标通常不会移动太多,所以 SiameseRPN 依赖输入的模板和搜索区域来提取特征返回分类图和回归图。通过干扰分类图或回归图就可以达到攻击目的。
在这里插入图片描述
Overall Pipeline 大致是将N个未扰动的搜索区域送入扰动生成器,得到的结果和干净的模板一起送入 SiamRPN++ 跟踪器中,得到扰动后的分类图和回归图,和干净的 heatmap 进行对比,使用 Adversarial cooling-shrinking loss 和 L2 loss 训练扰动生成器。
在这里插入图片描述

Towards Transferable Targeted Attack

解决问题:提出可迁移的有目标攻击方法。解释了有目标攻击可迁移性低的原因所在:噪声固化、没有远离原真实分类。

解决方法:提出使用 Poincaré Ball 空间来取代通常使用的欧几里得标准空间进行距离度量。Poincaré Ball 可以将整个几何图形拟合到半径为1的球中,这意味着具有更好的表示能力。
在这里插入图片描述
并且作者将目标分类点设置为 one hot 标签,位于 Poincaré Ball 的边缘,根据性质(图中每条线段长度相等),越靠近边缘梯度越大,这样在多次迭代后,梯度的变化量更大,解决了噪声固化的问题。
在这里插入图片描述
论文使用 Triplet Loss 来远离原分类。
在这里插入图片描述

Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

解决问题:在保证对抗样本视觉上不易察觉的基础上,是否可以使用 Lp 更大的扰动(扰动更大,对抗效果更好)

解决方法:使用感知色彩距离(Perceptual Color Distance)来限制扰动。提出了两种方法:PerC-C&W、PerC-AL(Perceptual Color distance Alternating Loss)。其中,第二种方法——Perc-AL在优化 classification loss 和 perceptual color difference 时更加高效。实验证明,论文的方法比传统的 Lp 方法具有更好的鲁棒性和可迁移性,并且证明了 PerC 距离能够给现有的顶尖的基于结构的扰动图像方法提供额外的价值。
在这里插入图片描述

One Man’s Trash is Another Man’s Treasure:Resisting Adversarial Examples by Adversarial Examples

解决问题:在对抗样本防御问题上,一个常见的方法是模糊、隐藏输入图像的神经网络梯度。但这种思路非常脆弱,面对现在的一些攻击方法准确度甚至为0。

解决方法:在送入一个输入图像到分类模型之前,将其使用外部生成对抗样例的预训练模型进行变形,然后再进行分类。论文对输入图像注入了明显强烈的对抗噪声。
在这里插入图片描述

ColorFool: Semantic Adversarial Colorization

解决问题:对于黑盒攻击,有限制的扰动经常有很高的频率,这导致容易被防御手段检测到。而使用无限制扰动生成的对抗样本容易被人眼察觉。

解决方法:本文提出了一种基于内容的黑盒攻击,利用图像的语义性来生成无限制扰动,使得人眼看上去较为自然。
在这里插入图片描述
首先,对于要对抗的图像我们使用图像分割,获取其中的敏感区域,本文主要考虑四类敏感区域:人、天空、植被、水。然后将图像分为这些敏感区域 S 和不敏感区域。
在这里插入图片描述
然后将图像转到 Lab 色彩空间( a ranges from green (-128) to red (+127), b ranges from blue (-128) to yellow(+127), and L ranges from black (0) to white (100))当中。对敏感区域分别尝试不同的扰动(限制较大):
在这里插入图片描述在这里插入图片描述
对不敏感区域的扰动是无限制的:
在这里插入图片描述
最后合成。

Polishing Decision-based Adversarial Noise with a Customized Sampling

解决问题:现有的大多数 decision-based 攻击都使用独立于历史查询或当前噪声的恒定采样设置和采样分布,这严重阻碍了 polish noise 的效率。

解决方法:论文指出失败采样也包含着决策边界的位置信息。我们可以定制采样过程,来使得新样本远离大概率失败的方向。为了最小化噪声大小,多元正态分布的方差应该与当前噪声的绝对值线性相关。基于噪声压缩的特性,我们调整了步长定制策略。并且使用 transfer-based attack 来初始化对抗噪声,优于随机生成。
论文提出 Customized Adversarial Boundary(CAB),这是一种基于决策的攻击,根据每个像素的噪声敏感度定制采样分布。
优化目标描述为:
在这里插入图片描述
x* 表示已找到的最小扰动的对抗样本,x’ 表示这一步优化的样本图像,x 为原样本。
在这里插入图片描述

Transferable, Controllable, and Inconspicuous Adversarial Attacks on Person Re-identification With Deep Mis-Ranking

解决问题:Person Re-identification (ReID)系统是否继承了DNN的脆弱性?如何攻击ReID?以及提出了增强可迁移性和攻击不可见性的方法。

解决方法:ReID问题与图像分类问题的差别在于ReID的训练集和测试集不共享类别。因此,ReID问题依赖 deep ranking,而攻击ReID系统主要的思路就是 mis-ranking。主要思想是最小化不匹配对的距离,同时最大化匹配对的距离。
在这里插入图片描述

整体的架构使用下面的triplet loss 来训练GAN。
在这里插入图片描述
在这里插入图片描述
为增强可迁移性,论文使用多阶段网络结构聚合不同级别的鉴别器的特征来进行特征学习。(好像就是多尺度融合)
在这里插入图片描述
对于不易察觉性,使用限制扰动像素个数和设计 Perception Loss 的方式解决。

Towards Verifying Robustness of Neural Networks Against A Family of Semantic Perturbations

解决问题:现有的神经网络鲁棒性验证主要针对威胁模型的输入的 lp范数,但是针对引起大的 lp范数扰动的语义对抗攻击的鲁棒性验证(例如颜色偏移和光照调整)超出了它们的能力。

解决方法:提出 Semantify-NN (包括 SP-Layers 和 Implicit Input Splitting),一个针对不可知模型的神经网络语义扰动的一般鲁棒性验证方法。将提出的SP-layers 插入到任何的输入层,就可以用来验证模型对抗语义扰动的鲁棒性。
在这里插入图片描述

阐述了所提出的针对一系列语义攻击的 SP-layers 的设计原则。将RGB色彩空间转换到HSL色彩空间中后,再给出不同操作g,和攻击参数εk,来描述平移、遮挡、色彩变换、亮度和对比度变换、旋转等语义攻击方法。这样将原扰动转换之后在对 lp范数扰动进行鲁棒性验证。
提出了高效的细分方法,Implicit input splitting。

这篇关于CVPR2020 Adversarial Attack Defense Summary(Part 1)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/774904

相关文章

Level3 — PART 3 — 自然语言处理与文本分析

目录 自然语言处理概要 分词与词性标注 N-Gram 分词 分词及词性标注的难点 法则式分词法 全切分 FMM和BMM Bi-direction MM 优缺点 统计式分词法 N-Gram概率模型 HMM概率模型 词性标注(Part-of-Speech Tagging) HMM 文本挖掘概要 信息检索(Information Retrieval) 全文扫描 关键词

MySQL record 02 part

查看已建数据库的基本信息: show CREATE DATABASE mydb; 注意,是DATABASE 不是 DATABASEs, 命令成功执行后,回显的信息有: CREATE DATABASE mydb /*!40100 DEFAULT CHARACTER SET utf8mb3 / /!80016 DEFAULT ENCRYPTION=‘N’ / CREATE DATABASE myd

深度学习--对抗生成网络(GAN, Generative Adversarial Network)

对抗生成网络(GAN, Generative Adversarial Network)是一种深度学习模型,由Ian Goodfellow等人在2014年提出。GAN主要用于生成数据,通过两个神经网络相互对抗,来生成以假乱真的新数据。以下是对GAN的详细阐述,包括其概念、作用、核心要点、实现过程、代码实现和适用场景。 1. 概念 GAN由两个神经网络组成:生成器(Generator)和判别器(D

Vue3图片上传报错:Required part ‘file‘ is not present.

错误 "Required part 'file' is not present" 通常表明服务器期望在接收到的 multipart/form-data 请求中找到一个名为 file 的部分(即文件字段),但实际上没有找到。这可能是因为以下几个原因: 请求体构建不正确:在发送请求时,可能没有正确地将文件添加到 FormData 对象中,或者使用了错误的字段名。 前端代码错误:在前端代码中,可能

C++入门(part 2)

前言 在前文我们讲解了C++的诞生与历史,顺便讲解一些C++的小语法,本文会继续讲解C++的基础语法知识。 1. 缺省参数 1.1缺省参数的概念 缺省参数是声明或定义函数时为函数的参数指定⼀个缺省值。在调⽤该函数时,如果没有指定实参则采⽤该形参的缺省值,否则使用指定的实参。(有些地⽅把缺省参数也叫默认参数) 1.2 缺省参数的分类 缺省参数分为全缺省和半缺省参数,全缺省就是全部形参给

MySQL record 01 part

更改密码: alter user 'root'@'localhost' identified with mysql_native_password by ‘123456’; 注意: 在命令行方式下,每条MySQL的命令都是以分号结尾的,如果不加分号,MySQL会继续等待用户输入命令,直到MySQL看到分号,才会去执行分号前的所有用户输入的语句。包括密码在内,用户名、主机名,都需要使用引

【机器学习】生成对抗网络(Generative Adversarial Networks, GANs)详解

🌈个人主页: 鑫宝Code 🔥热门专栏: 闲话杂谈| 炫酷HTML | JavaScript基础 ​💫个人格言: "如无必要,勿增实体" 文章目录 生成对抗网络(Generative Adversarial Networks, GANs)详解GANs的基本原理GANs的训练过程GANs的发展历程GANs在实际任务中的应用小结 生成对

OEM Activity Summary AAS 不记录后台进程 比如 rman

OEM中rman 备份认为是后台进程,所以在Activity Summary未显示 ,AAS 可以显示 去掉后台进程rman 一个也不显示!

预计算攻击(Precomputation Attack):概念与防范

预计算攻击(Precomputation Attack)是一种密码学中的攻击技术,攻击者通过提前计算出可能的密钥或哈希值的映射表,来减少实际攻击时的计算量和时间。预计算攻击广泛应用于针对密码散列函数和对称加密算法的攻击中,常用于破解密码哈希、数字签名等。 1. 预计算攻击的基本概念 预计算攻击的核心思想是通过在攻击前进行大量的计算工作,生成一个可能值到其哈希值(或加密值)的映射表(即“预计算表

Image Transformation can make Neural Networks more robust against Adversarial Examples

Image Transformation can make Neural Networks more robust against Adversarial Examples 创新点 1.旋转解决误分类 总结 可以说简单粗暴有效