该论文是关于黑盒对抗攻击的研究并发表于。近几年的研究表明黑盒攻击提交给目标分类器的查询数量已经显著减少,访问效率大大提升。在该论文中作者介绍了一种基于几何原理的黑盒攻击方法。它可以在获取模型信息困难苛刻的条件下实现了高效的攻击效果。是在分类器决策边界的几何属性的精确指示的指导下,沿着不同的方向进行更高效的尝试查询。
论文:https://arxiv.org/abs/2011.12807v1
代码:https://github.com/t-maho/SurFree
2.1理论推导
假定已知对抗子空间中边界的一点,其中,。作者在二维的随机放射平面内寻找对抗样本点。平面包含样本点,单位向量和,其中,,。如下图所示在一个极坐标下,考虑在平面与的距离为并且跟向量的角度为的一点:其中,,,则对于任意的,有,。假定的交集是一条通过点的直线,并且其法向量有。不失一般性,在极坐标系中有,如果是对抗样本点,则有。从下图可以发现,如果,则到对抗子空间的边界的距离最小,此时可知,。但是由于未知,所以攻击者不能得到这个最优值点。考虑以下两种情况:
- 不是对抗样本点。这意味着已经是最优的了,因为它是到边界的投影。
则此时是对抗样本点,和是有相同的符号。论文中这个最关键的结论没有给出相应的证明,以下给出了相应的证明。
求解不等式:
此函数值是随着变量增大的,定义域范围是。由上式可知,。性质1:考虑中点,点的轨迹表示为以为原点,以为半径的圆,,,则有对于,有\性质2:如果是对抗样本点,则对于任意,也是对抗样本点。相反,如果不是对抗样本点,则对于任意。这是由于函数的单调性。性质3: 是能够产生最大扰动的下降角度。是点在边界上的投影,并且有其中是法向量在超平面的单位投影向量。该平面是用由单位向量和张成,并且有。根据性质3可以得到,并且则有。所以是法向量在超平面的单位投影向量。该平面是用由单位向量和张成,性质4:迭代这个过程以最小的对砍扰动收敛到对抗扰动点。
其中,与共线,因此指向到超平面边界的投影。该论文的方法采用的是随机坐标下降法。如果边界不是一个超平面,而是一个光滑的凸曲面,那么在向量上循环多次可确保收敛到局部最小值的对抗扰动。
该算法需要一个初始化点,并生成对抗样本点。定义,在上二分搜索生成。在第次迭代后,点接近分类边界并定义出,并且有,生成的向量集合为。算法考虑到点有,,,,但是因为的角度依赖于未知的角度,所以需要从大幅度震荡使用和交替去不停的去测试:如下图所示,受水印攻击的启发,边界面具有小曲率的凸曲面,给定从角度,距离为的点开始,给出角度距离,在边界上以角度找到第三个点。当角为,,和,通过二阶多项式插值从角度到距离并在以下位置找到其最小值:利用二分搜索法找到了和之间的边界点。点是在边界上找到的最近的点
4.1 评估指标
论文中的评估指标是查询的数量,以及受攻击图像的对抗扰动。对抗扰动是用空间上的范数来来进行测量的(用像素的数量乘以颜色通道的数量)。对于给定的,它是在查询序列上获得的最小扰动,具体的表达式为:个原始图像上的平均值给出了攻击效率的特征,具体的表达式为:
作者将成功率定义为在查询预算内获得低于目标数据的失真的概率具体的表达式为:
4.2 模块分析
在该论文中的攻击方向的产生是高度随机的。这可能会产生不稳定的结果,产生分散扰动的对抗图像图像。下面两幅图分别显示了幅图像的平均失真情况和一幅图像被攻击20次的标准差。这两幅图概括了一次迭代在查询数量方面的复杂性和失真减少方面的增益之间的权衡,从下面两幅图可以发现,在平均失真和标准偏差两方面都做出了正确的权衡。
如下表所示,在最初的一千个查询中,全像素域的失真更大。对于相同的查询代价,将扰动约束在用全离散余弦变换定义的较小低频子空间中是更加有益的。
下图显示了相对于查询的数量扰动的失真。呈现出一条平滑的曲线,这是对多幅图像求平均值的结果。其他攻击仍然明显的阶梯形状。由此可以发现展现出更好的数学性质,这里主要特指梯度方面。
下表显示了三个被攻击图像的视觉展示,这三个被攻击图像分别是容易攻击、中等攻击和难以攻击。虽然这三种攻击对图像的影响不同,可以很明显的发现生成的对抗样本非常有针对性,并且生成的对抗扰动不是漫无目的。
对抗攻击等技术,
若已为CV君其他账号好友请直接私信。
在看,让更多人看到
