ADVERSARIAL EXAMPLES IN THE PHYS

作者: Yunlord | 来源:发表于2018-11-08 09:42 被阅读0次

1.引言

这篇文章由Goodfellow等人发表在ICLR2017会议上，是对抗样本领域的经典论文。这篇文章与以往不同的，主要是通过摄像头等传感器输入对抗样本到Inceptionv3，相当于在物理世界的实际攻击。同时论文提出BIM和ILCM对抗样本生成方法，并且与之前提出的fgsm在imagenet 验证集上进行效果比较。总的来说，这篇文章提出新的攻击方法，引入了对抗攻击有效性的指标，通过实际物理摄像头采集数据。

2.攻击方法

根据FGSM改进，提出迭代的攻击方法，称为BIM，具体为： $X_{N+1}^{adv}=Clip\left\{ X_{N}^{adv} +\alpha sign(\nabla_{X} J(X_{N}^{adv},y_{ture} ))\right\}$ ,其中 $X_{N}^{adv}$ 表示第 $N$ 次迭代时的扰动图像， $Clip$ 表示剪辑图像（像素的值），其中 $\epsilon$ 和 $\alpha$ 确定步长（通常）。BIM算法以 $X_{N}^{adv} =X_{c}$ 开始，并运行由公式 $[min(\epsilon +4,1.25\epsilon )]$ 确定的迭代次数。该方法可以有效地降低扰动的噪声。

同时提出了迭代最不可能类别方法，称为ILCM，具体为 $X_{N+1}^{adv}=Clip\left\{ X_{N}^{adv} -\alpha sign(\nabla_{X} J(X_{N}^{adv},y_{LL} ))\right\}$ ，其中 $y_{LL}$ 为最不可能类别的标签，这相当于目标攻击。主要是因为在cifar和mnist数据集中的类别数量少，类间差异大，而imagenet数据类别多，可能会导致没有意义的错分类，比如将一种狗错分为另一种狗。

3.物理攻击

通过手机摄像头采集打印好的干净样本和对抗样本，来实现对现实世界的攻击。并提出了摧毁率d，如下图：

分母为1时，干净样本被正确分类，对抗样本被错误分类，分子为1时，干净样本被正确分类，对抗样本被错误分类，经过变换后（打印后拍摄）的对抗样本被正确分类。

4.总结

优点：提出的攻击方法，一解决了噪声大小，二是避免没有意义的错误分类，并且讨论了通过摄像头实际拍摄对对抗样本带来的影响。

不足：该物理攻击不是很符合实际，一是将对抗样本打印好正对着拍照，而实际生活中，物体应该是多角度，立体的，二是已知被攻击网络的具体攻击，为白盒攻击，但黑盒攻击才更符合实际。

网友评论

本文标题：ADVERSARIAL EXAMPLES IN THE PHYS

本文链接：https://www.haomeiwen.com/subject/mhovxqtx.html

延伸阅读

深度阅读

您也可以注册成为美文阅读网的作者，发表您的原创作品、分享您的心情！