Jun, 2024

基于转换的对抗攻击

PDF
TL;DR我们引入了转换依赖型对抗攻击,一种新的威胁类型,其中一个单一的加性扰动可以通过系统地转换输入(例如缩放、模糊、压缩)触发多样化、可控的错误预测。与具有静态影响的传统攻击不同,我们的扰动嵌入了变态学特性,可以根据转换参数的函数实现不同的对抗攻击。我们展示了在模型(例如卷积网络和视觉变压器)和视觉任务(例如图像分类和目标检测)上的转换依赖性漏洞。我们提出的几何和光度转换使得从一个精心制作的输入中能够产生一系列有针对性的错误(例如对于分类器的超过 90% 的攻击成功率)。我们分析了模型结构、变换类型 / 多样性对攻击效果的影响。这项工作通过重新定义对抗输入为动态的、可控的威胁,强制进行范式转变。我们强调了对抗这种多方面、变色龙般的扰动的强大防御措施的需求,而当前的技术则显得力不从心。
transformation-dependent adversarial attacksadditive perturbationmetamorphic propertiesgeometric and photometric transformationsrobust defenses
发现论文,激发创造
  • 语义对抗攻击:参数转换欺骗深度分类器

    本文通过对参数条件生成模型的范围空间进行对抗性损失的优化,提出了一种新颖的方法来生成 “语义” 对抗性示例,并在面部图像上展示了其攻击的效果。

    Apr, 2019

  • 通过输入转换、防御扰动和投票检测对抗性样本

    本文探讨在可对抗的变形情况下检测对抗攻击,并提出一种名为 defense perturbation 的新方法来检测具有相同输入变换与可靠的对抗攻击。同时介绍了多网络对抗例子,这种对抗例子可以同时欺骗多个网络。

    Jan, 2021

  • 探究和利用图像转换对抗性检测的影响

    本文综述了利用图像转换进行对抗检测的近期进展,并提出了一种名为 AdvJudge 的深度学习方法,通过结合 9 种图像转换的分数来判断对抗性示例,并利用可解释的 AI 工具显示了每种图像转换对对抗检测的贡献。

    Jan, 2022

  • 基于转移的对抗攻击的自适应图像转换

    本文提出了一种名为自适应图片转换学习器(AITL)的新型结构,该结构将不同的图片转换操作集成到统一的框架中,进一步提高对抗样本的可转移性,实验表明该方法在 ImageNet 上的攻击成功率显著提高。

    Nov, 2021

  • 关于可转移性和加性噪声输入转换的评论

    本文研究对抗攻击在神经网络领域中的应用,通过数学证明,探索了加入噪声的输入转换与转移对抗性样本的关系。

    Jun, 2022

  • 生成对抗扰动

    该研究提出了新型生成模型,用于制造近似自然图像但又能欺骗先前训练好的模型的略微扰动的对抗性样本。通过在具有挑战性的高分辨率数据集上的实验,它证明了这种扰动具有高弄虚率和较小的扰动规模,并且比当前的迭代方法更快。

    Dec, 2017

  • 学习动态转化以提高对抗迁移性能

    通过学习选择最佳的变换组合以提高对抗传递能力的一种新方法,名为 Learning to Transform (L2T),在实验中展现出优于现有方法的性能,并证实其有效性和实用意义。

    May, 2024

  • 深度网络的简单黑盒对抗扰动

    研究表明,即使没有内部知识,对深度卷积神经网络进行黑盒攻击并制造对抗性样本是可行的,这暴露了深度神经网络的弱点,为设计安全的网络提供了检验。

    Dec, 2016

  • 图像空间之外的对抗攻击

    本文针对深度神经网络生成对抗样本的问题展开了研究,提出了针对 3D 物理性质改变的对抗样本生成方法,并通过在 2D 输入图像前增加可渲染模块的方式,成功地将对抗扰动提升到物理空间,检验了所设计的方法的有效性。

    Nov, 2017

  • Admix: 提高对抗攻击的可转移性

    该研究旨在提高对抗转移性能,在理论和实验的基础上设计了一种称为 Admix 的输入变换攻击方法,该方法能够利用附加图像集合进行攻击并优于现有方法。

    Jan, 2021