对抗攻击：Robust Superpixel-Guided Attentional Adversarial Attack

对抗攻防文献记录

文献一：Robust Superpixel-Guided Attentional Adversarial Attack

---

---

一、相关概念

"pixel-wise" means these adversarial perturbations are added onto each pixel independently, thus very noisy in most cases.

"global-wise " means that most existing methods treat all the pixels in one image equally and add perturbations to all pixels.

超像素分割：将一幅图像中纹理，色泽相近的部分划分为一个个小的子区域，实现聚类、分割的目的。

传统基于pixel-wise和global-wise的对抗样本产生方法（如I-FGM）会造成图像像素之间的不平滑，容易被基于图像处理和基于隐写分析的防御方法识破。

二、SAI-FGM

本文利用超像素分割+CAM注意力热图来实现对抗样本的平滑

超像素点分割：增强对抗样本的平滑性

注意力热图：使对抗样本的添加位置更有针对性

1.原始图像的超像素点分割

使用SLIC方法对原始图像x进行超像素分割得到t，将t作为生成对抗噪声的模板 。

2.注意力热图分割

使用CAM方法计算原始图像的注意力热图m，并采用阈值分割将m二值化得到 m’， 可分为背景部分和目标部分。

3.对抗噪声的产生

设置初始噪声向量 n，n的长度与超像素图像x’中的子块数量相同。使用映射函数f初始化n，然后进行多次迭代

三、总结

Robust Superpixel-Guided Attentional Adversarial Attack——鲁棒的超像素点引导的注意力对抗攻击（SAI-FGM）是一种基于梯度的攻击方式，可有效突破数据预处理，隐写分析等对抗防御方法