【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击!Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction

亮点:

①不需要目标模型的任何访问信息就可以攻击。
②攻击方法可以跨任务:同一张图,生成的攻击对象适用于各种CV检测。更加符合实际。

核心思想:

CV大类的检测网络,往往都是捕捉特征进行判断。因此文章近似把深度网络分成俩部分:特征捕捉+仿射变换
①特征捕捉是捕捉图片的底层特征,文中的思想是各个网络捕捉到的可能都差不多(捕捉到的特征为向量a)。
②仿射变换(=W*a)为分类信息,各个网络差异很大。

其中W可以看成(w1,w2,……)表示不同的分类参数。

之所以一个网络中把图像分类成n类,是因为在仿射变换W*a中,wn×a最大,即wna重合度最高(这个结论和协方差Cov有关,虽然我也没太弄明白)。至此,误分类的思路就很简单了,改变特征a的特征向量的方向,就可以使wn×a变小,同时其他的w1×aw2×a等就会随机增大,就可能产生误分类。

最后一个问题,怎么确定特征a?
随便选个网络,输入图像,随便取差不多中间一层,输出就是特征a。
再对a进行上述操作之后,就可以攻击目标网络了。

全程不需要目标网络的参与。

当然以上攻击过程存在一个重要先验(文中表述为‘经验推理’):所有的CV大类的网络,在底层特征a的捕捉上是基本一致的。

伪代码和核心说明部分如下:
【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击!Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction_第1张图片

【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击!Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction_第2张图片

效果:
【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击!Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction_第3张图片
希望路过这儿的你可以关注我一下~~我会定期更新一系列阅读笔记和总结,加入自己的见解和思路,希望能对你有用~

你可能感兴趣的:(像素攻击,算法,python,对抗攻击)