1 引言

?當(dāng)前很多對抗攻擊方法在白盒條件下都能達(dá)到非常高的攻擊成功率，但在該條件下生成的對抗樣本可遷移性較差?；趧?dòng)量的攻擊MI-FGSM是提高對抗樣本可遷移性的一種非常有效方法，它將動(dòng)量項(xiàng)集成到迭代過程中，可以通過為每個(gè)像素添加梯度的時(shí)間相關(guān)性來穩(wěn)定梯度的更新方向。在該論文中作者認(rèn)為對抗擾動(dòng)中只有這種時(shí)序動(dòng)量是不夠的，還需要引入圖像中空間域的梯度（就是以目標(biāo)像素為中心的上下文像素的梯度）對于穩(wěn)定梯度方向也很重要。因此，作者提出了一種新的方法，稱為空間動(dòng)量迭代 FGSM 攻擊（SMI-FGSM），該方法通過考慮來自不同區(qū)域的上下文梯度信息，引入了從時(shí)域到空間域的動(dòng)量累積機(jī)制。實(shí)驗(yàn)結(jié)果表明跟其它先進(jìn)的方法相比，論文中的方法對多個(gè)主流的無防御和有防御模型實(shí)現(xiàn)了目前最高的遷移成功率。

論文鏈接：https://arxiv.org/abs/2203.13479

2 相關(guān)工作

?在介紹本論文方法之前，先回顧一下基于梯度的對抗攻擊的方法。給定一個(gè)由$\theta$進(jìn)行參數(shù)化的分類器網(wǎng)絡(luò)$f_{\theta }$，令$(x,y)$表示的是干凈樣本和對應(yīng)真實(shí)的標(biāo)簽。對抗攻擊的目的是找到一個(gè)對抗樣本$x^{adv}$，該樣本在$x$的鄰域內(nèi)，并且會(huì)使得分類器網(wǎng)絡(luò)分類出錯(cuò)，具體形式如下所示：$$f_{\theta }(x^{adv})=y,s.t.\Vert x^{adv}?x{\Vert }_p\le ?$$其中$?$表示最大的對抗擾動(dòng)，通常情況下，$L_p$范數(shù)中的$p$取值為$0$，$2$和$\infty$。

• FGSM： 該方法是一個(gè)單步的迭代攻擊方法，具體的公式如下所示$$x^{adv}=x+??\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}({?}_{x}J(x,y))$$ 其中${?}_{x}J$表示的是損失函數(shù)$J(?)$關(guān)于輸入$x$的梯度，$\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}(?)$表示的是符號函數(shù)。
• I-FGSM: 該方法是FGSM的多步迭代版，具體的公式如下所示$$x_{t+1}^{adv}=x_t^{adv}+\alpha ?\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}({?}_{x_t^{adv}}J(x_t^{adv},y))$$其中$\alpha$是每一步迭代的步長，$x_0^{adv}=x$。在白盒攻擊，中I-FGSM比FGSM更有效，但是對抗遷移性偏弱。
• MI-FGSM： 該方法將動(dòng)量項(xiàng)整合到迭代攻擊中用于穩(wěn)定更新的梯度方向進(jìn)而提高對抗樣本的可遷移性 ，具體形式如下所示
  $$?\begin{array}{rl}{g}_{t+1}& =\mu ?g_t+\frac{{?}_{x}J(x_t^{adv},y)}{\Vert {?}_{x}J(x_t^{adv},y){\Vert }_1}\\ x_{t+1}^{adv}& =x_t^{adv}+\alpha ?\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}(g_{t+1})\end{array}$$$g_t$表示的累計(jì)梯度，$\mu$表示的衰減因子。
• NI-FGSM： 該方法將nesterov用于迭代攻擊中加速收斂進(jìn)而可以大大提高對抗樣本的可遷移性。$$?\begin{array}{rl}{g}_{t+1}& =\mu ?g_t+\frac{{?}_{x}J(x_t^{adv}+\alpha ?\mu ?g_t,y)}{\Vert {?}_{x}J(x_t^{adv}+\alpha ?\mu ?g_t,y){\Vert }_1}\\ x_{t+1}^{adv}& =x_t^{adv}+\alpha ?\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}(g_{t+1})\end{array}$$由上公式可知，用$x_t^{adv}+\alpha ?\mu ?g_t$代替MI-FGSM中的$x_t^{adv}$。
• VMI-FGSM： 該方法考慮到了之前迭代過程中的梯度方差借此來微調(diào)當(dāng)前的梯度，目的是可以穩(wěn)定梯度更新的方向，具體的公式如下所示：$$g_{t+1}=\mu ?g_t+\frac{{?}_{x}J(x_t^{adv},y)+v_t}{\Vert {?}_{x}J(x_t^{adv},y)+v_t{\Vert }_1}$$其中$v_{t+1}=\frac{1}{n}\sum _{i=1}^n{?}_{x}J(x_i,y)?{?}_{x}J(x_t^{adv},y)$，且有$x_i=x_t^{adv}+r_i$，這里的$r_i$是在某個(gè)區(qū)間范圍內(nèi)的隨機(jī)擾動(dòng)。
• DI attack: 該方法主要是對輸入樣本進(jìn)行多樣化的變換，給對抗擾動(dòng)帶來隨機(jī)性，借此來提高對抗樣本的泛化性，其中變換的方式一般為隨機(jī)調(diào)整尺寸，以特定概率加入padding。
• TI attack： 該方法利用輸入圖像的梯度與預(yù)定義的核矩陣卷積來計(jì)算梯度。由此產(chǎn)生的對抗樣本對被攻擊的白盒模型的區(qū)分區(qū)域不太敏感，并且能夠以更高置信度去欺騙另一個(gè)模型，尤其是用于具有防御機(jī)制的黑盒模型。
• SI attack: 該方法引入深度學(xué)習(xí)模型的尺度不變性，并對輸入圖像的對抗擾動(dòng)進(jìn)行優(yōu)化，以增強(qiáng)對抗樣本的可轉(zhuǎn)移性。

3 論文方法

?動(dòng)量機(jī)制不僅可以時(shí)序中進(jìn)行梯度累積，而且也可以用在圖像目標(biāo)像素點(diǎn)的空間域中進(jìn)行梯度累積。作者受此啟發(fā)提出對一張圖片進(jìn)行隨機(jī)變換并利用不同區(qū)域的信息生成一個(gè)穩(wěn)定的梯度，具體的公式如下所示：
$$?\begin{array}{rl}{g}_{t+1}^s& =\sum _{i=1}^n{\lambda }_i{?}_{x}J(H_i(x_t^{adv}),y)\\ x_{t+1}^{adv}& =x_t^{adv}+\alpha ?\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}(g_{t+1}^s)\end{array}$$其中$H_i(?)$用于對樣本進(jìn)行變換的函數(shù)，$n$表示輸入樣本在空間域變換的次數(shù)，${\lambda }_i$表示的是梯度權(quán)重，且有$\sum {\lambda }_i=1$，在論文中作者取${\lambda }_i=\frac{1}{n}$。通過計(jì)算多重隨機(jī)變換圖像的平均梯度，這樣可以得到目標(biāo)像素周圍的梯度空間動(dòng)量累積。作者在迭代攻擊中使用梯度的余弦相似度作為度量指標(biāo)，SMI-FGSM與I-FGSM相比具有更高的相似性，這表明了SMI-FGSM產(chǎn)生的梯度更加穩(wěn)定。SMI-FGSM可以與MI-FGSM相結(jié)合，從時(shí)間和空間兩個(gè)方面同時(shí)穩(wěn)定梯度的更新方向，進(jìn)一步提高對抗遷移性的能力，具體的算法流程圖如下所示：

4 實(shí)驗(yàn)結(jié)果

?在單一模型設(shè)置下使用I-FGSM和SMI-FGSM進(jìn)行對抗攻擊。如下表所示，可以直觀地發(fā)現(xiàn)SMI-FGSM在攻擊白盒模型時(shí)與I-FGSM一樣強(qiáng)大，它們的成功率都接近100%，但基于空間動(dòng)量的攻擊顯著提高了對抗樣本的對抗可轉(zhuǎn)移性，這揭示了空間信息對于提高可轉(zhuǎn)移性的重要性。

?下表比較了論文的方法與MI-FGSM改進(jìn)版本的對抗遷移性，可以發(fā)現(xiàn)SM2I-FGSM的性能大大優(yōu)于其他方法，論文中的方法另一個(gè)突出的優(yōu)點(diǎn)是在視覺上產(chǎn)生與原樣本相似的對抗樣本，這表明了所提出的攻擊方法的優(yōu)越性。

?作者將DTS與MI-FGSM、NI-FGSM、VMI-FGSM和SM2I-FGSM組合為MI-FGSM-DTS、NI-FGSM-DTS、VMI-FGSM-DTS和SM2I-FGSM-DTS。由下表可知，在Inc-v3模型上生成對抗樣本時(shí)，SM2I-FGSM-DTS的平均遷移成功率為81.9%。與平均成功率為64.8%的基準(zhǔn)方法MI-FGSM-DTS相比，這是一個(gè)顯著的改進(jìn)，這也表明論文的方法具有更好的可擴(kuò)展性，可以與現(xiàn)有方法結(jié)合，進(jìn)一步提高基于遷移的黑盒攻擊的成功率。

總結(jié)

以上是生活随笔為你收集整理的SMI-FGSM：空间动量提高对抗迁移性的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。