Attack
-
Training的Loss:固定x,修改θ,使y0接近ytrue.
-
Non-targeted Attack的Loss:固定θ,修改x,使y‘远离ytrue.
-
Targeted Attack的Loss:固定θ,修改x,使y‘远离ytrue且接近yfalse.
4个pixel,(RGB每个3dim)12个dim
从人类感知来看,1和2更相似,但L2-norm是一样的,那么L2-norm不能很好的表示d(,)
1,2的L-inf小些,1,3的L-inf大些.因此取决于人类感知,一般采用L-infinity
fix(xt)函数
1.00认为右图为Star Fish
50*2者的差值得到右上角的图片
Attack Approaches
FGSM:只需要做一次update
当x>0,sign(x)=1;当x=0,sign(x)=0; 当x<0, sign(x)=-1
不同的对抗攻击方法,区别一般在于采用不同的距离限制方式与不同的优化策略.
FGSM是一种常见的对抗攻击方法,它的原理是计算出分类函数loss的梯度,
然后用sign函数将其指向四个角的方向之一,再乘上ε使其落在角上,x0减去一次该值就得到最终的x*,位于四个角其中之一.
universal adversarial attack 普遍对抗攻击
把带有方块的图片夹到噪声上,再放到imageNet Classifier就可以进行方块数目识别
Defense
Passive Defense
使用Filter
只有某几种方向的信号能让攻击成功,加入Smoothing后不会影响tiget cat,
但是Smoothing把信号改变了,那么攻击也就失效
-
Feature Squeeze中的Squeeze即一个filter,该方法将原图像与通过多种filter后的图像预测结果进行比较,若其中有某个预测结果相差超过阈值,就认为该图像被修改过.
Randomization at Inference Phase对图像采用随机的、微小的改变,例如缩放、填充等,对改编后的图片进行分类.
但是如果你的修改被泄露,那么defense可能失败
Proactive Defene
为什么要T次循环?
一次循环后把之前的漏洞补了,但是可能出现新的漏洞,需要继续补
补漏洞:现在adversarial input 对应的label 就是原来训练集input的label,就失去了攻击的意义.
你找漏洞的算法被泄露了,那么别人可以根据其他算法进行攻击,那么又会出现漏洞