1.FGSM

單步攻擊，fast gradient sign method對抗樣本生成方法，通過更新對抗擾動，增大圖片分類損失，將樣本推過分類決策邊界。

對抗擾動更新方法如下
$$X^{\mathbf{a}\mathbf{d}\mathbf{v}}=X+?\times \mathbf{s}\mathbf{i}\mathbf{g}\mathbf{n}({?}_{X}L(X,y^{\mathbf{t}\mathbf{r}\mathbf{u}\mathbf{e}};\theta ))$$

2.I_FGSM

對單步攻擊FGSM進行迭代，擾動更新方法如下
$$\begin{gathered} X_0^{\mathbf{a}\mathbf{d}\mathbf{v}}=X; \\ {X}_{n+1}^{\mathbf{a}\mathbf{d}\mathbf{v}}={\mathbf{C}\mathbf{l}\mathbf{i}\mathbf{p}}_X^{?}\{X_n^{\mathbf{a}\mathbf{d}\mathbf{v}}+\alpha \times \mathbf{s}\mathbf{i}\mathbf{g}\mathbf{n}({?}_{X}L(X_n^{\mathbf{a}\mathbf{d}\mathbf{v}},y^{\mathbf{t}\mathbf{r}\mathbf{u}\mathbf{e}};\theta ))\} \end{gathered}$$

3.MI-FGSM

在i-FGSM的基礎上加入動量$\mathbf{m}$，類似于優化方法中的動量法，給參數更新的方向增加一個歷史的慣性，提升參數梯度變化的穩定性。

對抗樣本更新方法如下
$$\begin{gathered} g_{n+1}=\mu \times g_n+\frac{{?}_{X}L(X_n^{\mathbf{a}\mathbf{d}\mathbf{v}},y^{\mathbf{t}\mathbf{r}\mathbf{u}\mathbf{e}};\theta )}{||{?}_{X}L(X_n^{\mathbf{a}\mathbf{d}\mathbf{v}},y^{\mathbf{t}\mathbf{r}\mathbf{u}\mathbf{e}};\theta )|{|}_1}; \\ {X}_{n+1}^{\mathbf{a}\mathbf{d}\mathbf{v}}={\mathbf{C}\mathbf{l}\mathbf{i}\mathbf{p}}_X^{?}\{X_n^{\mathbf{a}\mathbf{d}\mathbf{v}}+\alpha \times \mathbf{s}\mathbf{i}\mathbf{g}\mathbf{n}(g_{n+1})\} \end{gathered}$$

其中$\mu$為動量參數，當為0時，即為I-FGSM方法。

4.DI-2-FGSM

輸入多樣化，輸入圖片進入一個input diversity函數$T(X_n^{adv};p)$，以p的概率對輸入進行多樣化處理，提升對抗樣本的轉移性

對抗樣本更新方法
$$X_{n+1}^{\mathbf{a}\mathbf{d}\mathbf{v}}={\mathbf{C}\mathbf{l}\mathbf{i}\mathbf{p}}_X^{?}\{X_n^{\mathbf{a}\mathbf{d}\mathbf{v}}+\alpha \times \mathbf{s}\mathbf{i}\mathbf{g}\mathbf{n}({?}_{X}L(T(X_n^{\mathbf{a}\mathbf{d}\mathbf{v}};p),y^{\mathbf{t}\mathbf{r}\mathbf{u}\mathbf{e}};\theta ))\}$$
其中函數$T(X_n^{adv};p)$，以1-p的概率不做任何處理，直接輸出原始的$X_n^{adv}$
$$T(X_n^{adv};p)=\{\begin{array}{l}T(X_n^{adv})\mathbf{w}\mathbf{i}\mathbf{t}\mathbf{h}\mathbf{p}\mathbf{r}\mathbf{o}\mathbf{b}\mathbf{a}\mathbf{b}\mathbf{i}\mathbf{l}\mathbf{i}\mathbf{t}\mathbf{y}\mathbf{p};\\ X_n^{adv}\mathbf{w}\mathbf{i}\mathbf{t}\mathbf{h}\mathbf{p}\mathbf{r}\mathbf{o}\mathbf{b}\mathbf{a}\mathbf{b}\mathbf{i}\mathbf{l}\mathbf{i}\mathbf{t}\mathbf{y}1?\mathbf{p}\end{array}$$

該函數的Pytorch實現如下

import torch import torch.nn.functional as Fdef input_diversity(x, diversity_prob=0.5, resize_rate=0.9):img_size = x.shape[-1]img_resize = int(img_size * resize_rate)if resize_rate < 1:img_size = img_resizeimg_resize = x.shape[-1]rnd = torch.randint(low=img_size, high=img_resize, size=(1,), dtype=torch.int32)rescaled = F.interpolate(x, size=[rnd, rnd], mode='bilinear', align_corners=False)h_rem = img_resize - rndw_rem = img_resize - rndpad_top = torch.randint(low=0, high=h_rem.item(), size=(1,), dtype=torch.int32)pad_bottom = h_rem - pad_toppad_left = torch.randint(low=0, high=w_rem.item(), size=(1,), dtype=torch.int32)pad_right = w_rem - pad_leftpadded = F.pad(rescaled, [pad_left.item(), pad_right.item(), pad_top.item(), pad_bottom.item()], value=0)return padded if torch.rand(1) < diversity_prob else x

5.TI-FGSM

針對防御模型的攻擊，利用一個事先定義好的kernel對擾動參數的梯度進行卷積平滑，提升對抗效果的轉移性
$$X_{n+1}^{adv}=X_n^{real}+?\times \mathbf{s}\mathbf{i}\mathbf{g}\mathbf{n}(\mathbf{W}?{?}_{X}J(X_n^{real},y))$$
其中$W$為卷積核，$?$表示卷積計算；

總結

以上是生活随笔為你收集整理的FGSM对抗样本trick汇总的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。