【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击!Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction

让人想犯罪 __ 提交于 2019-12-11 02:54:48

亮点:

①不需要目标模型的任何访问信息就可以攻击。
②攻击方法可以跨任务:同一张图,生成的攻击对象适用于各种CV检测。更加符合实际。

核心思想:

CV大类的检测网络,往往都是捕捉特征进行判断。因此文章近似把深度网络分成俩部分:特征捕捉+仿射变换
①特征捕捉是捕捉图片的底层特征,文中的思想是各个网络捕捉到的可能都差不多(捕捉到的特征为向量a)。
②仿射变换(=W*a)为分类信息,各个网络差异很大。

其中W可以看成(w1,w2,……)表示不同的分类参数。

之所以一个网络中把图像分类成n类,是因为在仿射变换W*a中,wn×a最大,即wna重合度最高(这个结论和协方差Cov有关,虽然我也没太弄明白)。至此,误分类的思路就很简单了,改变特征a的特征向量的方向,就可以使wn×a变小,同时其他的w1×aw2×a等就会随机增大,就可能产生误分类。

最后一个问题,怎么确定特征a?
随便选个网络,输入图像,随便取差不多中间一层,输出就是特征a。
再对a进行上述操作之后,就可以攻击目标网络了。

全程不需要目标网络的参与。

当然以上攻击过程存在一个重要先验(文中表述为‘经验推理’):所有的CV大类的网络,在底层特征a的捕捉上是基本一致的。

伪代码和核心说明部分如下:
在这里插入图片描述

在这里插入图片描述

效果:
在这里插入图片描述
希望路过这儿的你可以关注我一下~~我会定期更新一系列阅读笔记和总结,加入自己的见解和思路,希望能对你有用~

标签
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!