摘要
现存的攻击方法由于采取局部模型的过拟合导致基于迁移的对抗攻击方法攻击成功率较低。
为增加此类方法的攻击成功率作者使用对抗变换网络来建模最具伤害性的扰动,添加扰动后的对抗样本能够低于对抗变换防御。
缺点
替代模型的选择至关重要,未说明替代模型结构具体怎么选择的
需要训练一个代理模型因此对目标模型的访问量会特别大
方案没有明显指出迁移性提升的方式,仅显著提升了对抗样本能抵抗图像变形
训练集潜在已知
引言
设计有效的对抗攻击方法能有在DNN-based 系统正式应用之前能够评估其鲁棒性,有效促进防御机制的发展
在文献中研究的对抗性攻击一般有两种方式白盒(攻击者拥有目标模型完美知识)和黑盒(攻击者不知道目标模型的细节,如其架构和参数),与白盒攻击相比,黑盒攻击在实践中被认为是对基于dnn的系统更现实的威胁。在现有的黑盒攻击中,基于transfer的攻击由于其高实用性近年来得到了越来越多的关注,即攻击者基于局部源模型制作对抗样本,并直接利用由此产生的对抗示例来欺骗远程黑盒受害者。然而,现有的基于传输的攻击由于对所采用的源模型进行过拟合,常常表现出有限的迁移性(方案没有明显指出迁移性提升的方式,仅显著提升了对抗样本能抵抗图像变形)具体来说,虽然生成的对抗样本可以以很高的成功率欺骗源模型,但它们很难对不同的目标模型保持对抗性。
受数据增强策略的启发,之前的研究努力通过训练来提高对抗性样本的可转移性,它们对常见的图像转换(如调整的大小、转换和缩放)具有鲁棒性。不幸的是,这些工作明确模型应用的图像扭曲仅使用单个图像变换或他们的简单组合下的固定失真幅度。因此,它使生成的对抗样本对应用的图像变换过拟合,难以抵抗未知图像变换,导致可转移性较差。为了缓解使用固定图像变换造成的可转移性差的问题,一个典型的解决方案是识别丰富的代表性图像变换集合,然后针对每个图像仔细调整它们的组合。 然而,这样的策略可能会产生令人望而却步的计算成本。
为解决上述问题,作者通过对抗性学习训练CNN作为对抗性转化网络,捕获对抗性噪声最有害的变形,这种对抗性样本能够抵抗由对抗性转化网络带来的扭曲
相关性工作
基于查询的攻击通常需要使用过多的查询来识别敌对的示例,这可能会导致难以承受的查询成本,并使攻击更具可检测性。
在基于传输的攻击中,对手采用局部模型作为替代受害者进行攻击,并直接利用由此产生的对抗样本对远程目标模型进行攻击不幸的是,基于传输的攻击由于查询量的限制对使用的源模型的过度拟合,经常显示出有限的成功
基于迁移的又可分为应用更高级的算法提升模型的泛化性
方案
1. 学习Adversarial Transformation Network
(1)对抗变换网络训练损失
(2)构造对抗样本愚弄损失
(3)对抗变换网络训练具体算法
在这里插入图片描述
2. 构造对抗样本
对抗样本构造损失
实验
目标模型
ResNet v2 (Res-v2)
Inception v3 (Incv3)
Inception v4 (Inc-v4)
Inception-ResNet
v2 (IncRes-v2)
数据集
ILSVRC 2012