引言:
对于基于神经网络的分类器,对抗样本是一种加入了微小扰动的样本,能够让分类器产生错误的判断从而识别失败。传统的二维对抗样本通过打印等方式转移导现实世界中时,在有限的视角下能够保持对抗性。但在复杂多变的实际应用场景中,受光照、视角偏移和相机噪声等因素限制,这些对抗样本被相机捕捉到的形态已经发生了变化,在输入到分类器之前就已经失去了对抗性。因此传统方法生成的对抗样本在现实世界中多数无法保持对抗性,难以起到稳定的干扰效果。而此前的研究主要关注的是二维对抗样本的生成,目前缺少一种鲁棒的、能保持多视角对抗性的对抗样本。学术界在三维对抗样本方面的研究也有所欠缺。作者解决了传统对抗样本鲁棒性不强的问题,证明了现实世界中3D对抗样本的存在,首次提出了3D对抗样本的合成算法,并用3D打印合成了第一个物理对抗对象。
方法:
首先,作者提出了EOT算法:
EOT算法的核心思想对每一个微小的对抗扰动(即对抗输入和原始输入之间的距离)进行建模,从而缩小对抗输入与原始输入之间的视觉差距来优化对抗样本。
在有目标的白盒攻击场景中,传统的方法通过最大化目标类yt在原图像(一般将其表示为[ 0,1 ]中每个像素为d的向量)周围的一个半径为a的球上,目标类的对数似然来优化生成对抗样本。
可表示为:
而作者则选择在这个优化的过程中对每个微小的对抗扰动进行建模:
其中T表示转换函数t的变换分布:分类器的输入在经过变换函数t处理后由x变为t(x);而T则是对于可能影响对抗性的一些因素的建模:
对于2D对抗样本,T包括通过加性因子重新缩放、旋转、变亮或变暗、添加高斯噪声和图像的平移等;
对于3D对抗样本,T包括对抗样本的纹理,并将纹理映射到3D渲染中,以模拟光照、旋转、平移和透视投影等功能。
由此,对抗样本的生成可表示为:
作者在其中采用随机梯度下降的方法进行优化。其中,在梯度下降的每一步都对变换T进行独立的采样,并通过变换T进行微分。而为了更好地起到优化的效果,作者的的在优化目标函数的过程中使用了 Lagrangian-relaxed(拉格朗日松弛)方法,同时使用LGB空间距离作为原始与输出距离:
实验:
作者在实验中使用了TensorFlow的标准预训练InceptionV3分类器作为测试模型,并随机指定target类别,攻击成功率为96.4%。
作者首先定量评估了使用EOT方法生成2D、3D和现实世界对抗样本的有效性:将有效性量化定义为:
即样本被分类成目标类的概率。
其中函数C(x,y)表示输入x是否被分类为y类,即:
有了量化的评估标准之后,作者通过实验来评估对抗样本的有效性。
对于2D对抗样本,作者使用的变换分布包括缩放、旋转、改变亮度、添加高斯噪声和平移,对1000张图像随机选择目标类进行攻击,平均对抗性为96.4%:
对于3D对抗样本,作者通过对3D渲染的过程使用EOT算法来模拟变换,考虑了相机距离、横向平移、物体旋转、纯色背景等变换分布,为10个3D模型各选择了20个目标类进行攻击,平均对抗性为83.4%:
对于现实世界的3D对抗样本,作者在代表性的几个变换分布上使用EOT算法,以尽量地近似所有变换分布的情况。除3D渲染的过程外,还考虑了照明效果、相机噪声以及3D打印过程等变换。平均对抗性为94%:
作者通过实验证实了现实世界中3D对抗样本的存在,展示了EOT算法的有效性。
文献来源:文章来源:https://www.toymoban.com/news/detail-807961.html
[1]Athalye A, Engstrom L, Ilyas A, et al. Synthesizing robust adversarial examples[C]//International conference on machine learning. PMLR, 2018: 284-293.文章来源地址https://www.toymoban.com/news/detail-807961.html
到了这里,关于【论文笔记 】EOT算法:Synthesizing robust adversarial example的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[论文阅读笔记20]MotionTrack: Learning Robust Short-term and Long-term Motions for Multi-Object Tracking](https://imgs.yssmx.com/Uploads/2024/02/597527-1.png)
