Generating Adversarial Images in Quantized Domains

本文提出了一种有效量化对抗样本的方法，以便在空间域或者JPEG域中生成对抗样本，是以最小量化误差为目标，同时保持量化后图像的对抗性，以及最小化失真。本文提出了拉格朗日公式，并对拉格朗日乘数进行了适当的搜索，从而提高了成功率。本文只针对白盒攻击的有目标和无目标攻击。

符号：

内的原始图像。在进入DNN前经过预处理       N：像素的数量  

预处理：从和规范化

 白盒攻击是将,预处理后

分类模型

是将一个图像映射到C类的类概率向量p的分类器

预测的类：

 m范数的优化可以写为：、

 文章采用2范数

白盒设置中的攻击是由对抗性损失驱动的，以制造扰动:

 前面一项是预测x为真实类c(xo)的概率，后面一项为对抗类别的概率

损失函数<0代表预测错误，此时x是对抗样本

a：在有目标攻击时：代表一个参数

      在无目标攻击中：

 Best-Effort Model

本文提出了best-effort模式的概念，实现了攻击和分类器的公平比较，这包含自动攻击设置，这能保证使其在给定的迭代预算中尽可能更好地执行。

通过这种模式，可以找到：攻击是成功的，并且扰动的2范数最小

失真测量在像素域：

 也就是说，如果任何像素i，

 问题重述

目标是在附加积分约束的情况下，解决等式4中的定义的优化问题

本文提出了两种弱信号：

 q：代表量化噪声

重新定义失真和损失函数：

 这二者之间是存在一个权衡的。

例如消去了扰动，不再是对抗性的

求最小失真的对抗图像

 代表可接受的解决方案

,即将平移-u

对扰动进行四舍五入的量化：

 增加另一个约束q是有限振幅，引入称为自由度，反映每个分量的选择数量

 d=0相当于取四舍五入的扰动

无穷范数的量化噪声;一般情况下

d=扰动被量化为整数。

用积空间定义可容许量化噪声集

 容许解的个数是N的指数次方：

假设足够小，可以对损失进行一阶近似：

 对于d足够大，可以确保和是对抗性的，但是失真很大。

解决

等式21的解由拉格朗日公式给出，

定义函数：

 是拉格朗日乘子，平衡对抗性和失真量

通过有效最小化函数

对于

 =0:所有重要性给失真量D，这导致了期间的量化，消除了20中的u

   =：所有重要性给损失量L，这导致了25中的梯度量化q

失真随着严格增加，问题21的最优解为其中

用两步法计算最优解：

 step1:最小化函数

 是一个凸函数，

 此解不属于先验Q，不可以接受。

等式27可以改写为：

Q上的最小值就是最接近的元素。这相当于首先量化到上，然后进行裁剪

  step2，求解最优

 将28带到24中有：

通过观察λc来找到λ *的值。在区间[0.01λc, 100λc]内进行直线搜索。对于每个测试值，我们计算最佳扰动(30)，将其与xa相加，并提交给分类器。如果是对抗性的，则λ的值减小。否则会增加。
换句话说，最佳量化噪声q λ给定λ的计算依赖于线性逼近(24)，但λ 的发现意味着对分类器进行评估。

JPEG域中的智能量化

 JPEG域中转换表示为

量化

由于，等式24可以写为：

 对于欧氏距离公式可以写为：

 最后，拉格朗日函数写为：

 根据与空间域相同的推理，当放宽量化约束时，该函数的最小值等于设为(28)所给的。
也就是：

 然而，这次舍入是关于Xa的因为我们需要Xa + Q是一个积分向量

 就像在空间域中一样，这个值被裁剪为属于集合Q，定义在(23)用U替换u。
注意，如果原始图像是具有相同质量因子的JPEG格式，因此Xo是一个整数向量，

那么 ，我们恢复一个类似于(30)的量化。

设置

对于空间域

如果原始图像已经分类错误，则,否则BP生成,本文方法将其量化为

对于JPEG域

首先转换为JPEG格式，如果出发了错误分类，此JPEG版本的就是对抗图像，否则BP将从我们的方法量化到的JPEG原始文件生成