當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

SMI-FGSM：空间动量提高对抗迁移性

發布時間：2023/12/31 编程问答 27 豆豆

生活随笔收集整理的這篇文章主要介紹了 SMI-FGSM：空间动量提高对抗迁移性小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

1 引言

?當前很多對抗攻擊方法在白盒條件下都能達到非常高的攻擊成功率，但在該條件下生成的對抗樣本可遷移性較差?；趧恿康墓鬗I-FGSM是提高對抗樣本可遷移性的一種非常有效方法，它將動量項集成到迭代過程中，可以通過為每個像素添加梯度的時間相關性來穩定梯度的更新方向。在該論文中作者認為對抗擾動中只有這種時序動量是不夠的，還需要引入圖像中空間域的梯度（就是以目標像素為中心的上下文像素的梯度）對于穩定梯度方向也很重要。因此，作者提出了一種新的方法，稱為空間動量迭代 FGSM 攻擊（SMI-FGSM），該方法通過考慮來自不同區域的上下文梯度信息，引入了從時域到空間域的動量累積機制。實驗結果表明跟其它先進的方法相比，論文中的方法對多個主流的無防御和有防御模型實現了目前最高的遷移成功率。

論文鏈接：https://arxiv.org/abs/2203.13479

2 相關工作

?在介紹本論文方法之前，先回顧一下基于梯度的對抗攻擊的方法。給定一個由 $θ\theta$ 進行參數化的分類器網絡 $fθf_\theta$ ，令 $(x, y)$ 表示的是干凈樣本和對應真實的標簽。對抗攻擊的目的是找到一個對抗樣本 $x^{adv}$ ，該樣本在 $x$ 的鄰域內，并且會使得分類器網絡分類出錯，具體形式如下所示： $fθ(xadv)≠y,s.t.∥xadv?x∥p≤?f_\theta(x^{adv})\ne y, \quad s.t. \quad \|x^{adv}-x\|_p\le \epsilon$ 其中 $?\epsilon$ 表示最大的對抗擾動，通常情況下， $L_p$ 范數中的 $p$ 取值為 $0$ ， $2$ 和 $∞\infty$ 。

FGSM： 該方法是一個單步的迭代攻擊方法，具體的公式如下所示 $xadv=x+??sign(?xJ(x,y))x^{adv}=x+\epsilon \cdot \mathrm{sign}(\nabla_x J(x,y))$ 其中 $?xJ\nabla_x J$ 表示的是損失函數 $J(?)J(\cdot)$ 關于輸入 $x$ 的梯度， $sign(?)\mathrm{sign}(\cdot)$ 表示的是符號函數。
I-FGSM: 該方法是FGSM的多步迭代版，具體的公式如下所示 $xt+1adv=xtadv+α?sign(?xtadvJ(xtadv,y))x_{t+1}^{adv}=x_t^{adv}+\alpha\cdot \mathrm{sign}(\nabla_{x_t^{adv}}J(x_t^{adv},y))$ 其中 $α\alpha$ 是每一步迭代的步長， $x_0^{adv}=x$ 。在白盒攻擊，中I-FGSM比FGSM更有效，但是對抗遷移性偏弱。
MI-FGSM： 該方法將動量項整合到迭代攻擊中用于穩定更新的梯度方向進而提高對抗樣本的可遷移性，具體形式如下所示
${gt+1=μ?gt+?xJ(xtadv,y)∥?xJ(xtadv,y)∥1xt+1adv=xtadv+α?sign(gt+1)\left\{\begin{aligned}g_{t+1}&=\mu \cdot g_t + \frac{\nabla_x J(x^{adv}_t,y)}{\|\nabla_x J(x_t^{adv},y)\|_1}\\x_{t+1}^{adv}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1})\end{aligned}\right.$ $g_t$ 表示的累計梯度， $μ\mu$ 表示的衰減因子。
NI-FGSM： 該方法將nesterov用于迭代攻擊中加速收斂進而可以大大提高對抗樣本的可遷移性。 ${gt+1=μ?gt+?xJ(xtadv+α?μ?gt,y)∥?xJ(xtadv+α?μ?gt,y)∥1xt+1adv=xtadv+α?sign(gt+1)\left\{\begin{aligned}g_{t+1}&=\mu \cdot g_t + \frac{\nabla_x J(x^{adv}_t+\alpha \cdot \mu \cdot g_t,y)}{\|\nabla_x J(x^{adv}_t+\alpha \cdot \mu \cdot g_t,y)\|_1}\\x_{t+1}^{adv}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1})\end{aligned}\right.$ 由上公式可知，用 $xtadv+α?μ?gtx_t^{adv}+\alpha\cdot \mu\cdot g_t$ 代替MI-FGSM中的 $x_t^{adv}$ 。
VMI-FGSM： 該方法考慮到了之前迭代過程中的梯度方差借此來微調當前的梯度，目的是可以穩定梯度更新的方向，具體的公式如下所示： $gt+1=μ?gt+?xJ(xtadv,y)+vt∥?xJ(xtadv,y)+vt∥1g_{t+1}=\mu \cdot g_t + \frac{\nabla_x J(x_t^{adv},y)+v_t}{\|\nabla_x J(x_t^{adv},y)+v_t\|_1}$ 其中 $vt+1=1n∑i=1n?xJ(xi,y)??xJ(xtadv,y)v_{t+1}=\frac{1}{n}\sum\limits_{i=1}^n\nabla_x J(x_i,y)-\nabla_x J(x^{adv}_t,y)$ ，且有 $x_i=x_t^{adv}+r_i$ ，這里的 $r_i$ 是在某個區間范圍內的隨機擾動。
DI attack: 該方法主要是對輸入樣本進行多樣化的變換，給對抗擾動帶來隨機性，借此來提高對抗樣本的泛化性，其中變換的方式一般為隨機調整尺寸，以特定概率加入padding。
TI attack： 該方法利用輸入圖像的梯度與預定義的核矩陣卷積來計算梯度。由此產生的對抗樣本對被攻擊的白盒模型的區分區域不太敏感，并且能夠以更高置信度去欺騙另一個模型，尤其是用于具有防御機制的黑盒模型。
SI attack: 該方法引入深度學習模型的尺度不變性，并對輸入圖像的對抗擾動進行優化，以增強對抗樣本的可轉移性。

3 論文方法

?動量機制不僅可以時序中進行梯度累積，而且也可以用在圖像目標像素點的空間域中進行梯度累積。作者受此啟發提出對一張圖片進行隨機變換并利用不同區域的信息生成一個穩定的梯度，具體的公式如下所示：
${gt+1s=∑i=1nλi?xJ(Hi(xtadv),y)xt+1adv=xtadv+α?sign(gt+1s)\left\{\begin{aligned}g_{t+1}^s &= \sum\limits_{i=1}^n \lambda_i \nabla_x J(H_i(x^{adv}_t),y)\\x^{adv}_{t+1}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1}^s)\end{aligned}\right.$ 其中 $Hi(?)H_i(\cdot)$ 用于對樣本進行變換的函數， $n$ 表示輸入樣本在空間域變換的次數， $λi\lambda_i$ 表示的是梯度權重，且有 $∑λi=1\sum \lambda_i=1$ ，在論文中作者取 $λi=1n\lambda_i=\frac{1}{n}$ 。通過計算多重隨機變換圖像的平均梯度，這樣可以得到目標像素周圍的梯度空間動量累積。作者在迭代攻擊中使用梯度的余弦相似度作為度量指標，SMI-FGSM與I-FGSM相比具有更高的相似性，這表明了SMI-FGSM產生的梯度更加穩定。SMI-FGSM可以與MI-FGSM相結合，從時間和空間兩個方面同時穩定梯度的更新方向，進一步提高對抗遷移性的能力，具體的算法流程圖如下所示：

4 實驗結果

?在單一模型設置下使用I-FGSM和SMI-FGSM進行對抗攻擊。如下表所示，可以直觀地發現SMI-FGSM在攻擊白盒模型時與I-FGSM一樣強大，它們的成功率都接近100%，但基于空間動量的攻擊顯著提高了對抗樣本的對抗可轉移性，這揭示了空間信息對于提高可轉移性的重要性。

?下表比較了論文的方法與MI-FGSM改進版本的對抗遷移性，可以發現SM2I-FGSM的性能大大優于其他方法，論文中的方法另一個突出的優點是在視覺上產生與原樣本相似的對抗樣本，這表明了所提出的攻擊方法的優越性。

?作者將DTS與MI-FGSM、NI-FGSM、VMI-FGSM和SM2I-FGSM組合為MI-FGSM-DTS、NI-FGSM-DTS、VMI-FGSM-DTS和SM2I-FGSM-DTS。由下表可知，在Inc-v3模型上生成對抗樣本時，SM2I-FGSM-DTS的平均遷移成功率為81.9%。與平均成功率為64.8%的基準方法MI-FGSM-DTS相比，這是一個顯著的改進，這也表明論文的方法具有更好的可擴展性，可以與現有方法結合，進一步提高基于遷移的黑盒攻擊的成功率。

總結

以上是生活随笔為你收集整理的SMI-FGSM：空间动量提高对抗迁移性的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。