当前位置: 代码迷 >> 综合 >> 【CV算法兵器】“晓风残月” ->对抗攻击“兵器”大放送(综述篇)
  详细解决方案

【CV算法兵器】“晓风残月” ->对抗攻击“兵器”大放送(综述篇)

热度:61   发布时间:2023-12-16 00:23:18.0

0 导读

随着深度学习与AI算法在工业界不断落地,AI安全已经成为一个算法解决方案的重要关注方向。在此将我的公众号文章分享到CSDN上,希望能和CSDN上的朋友们一起交流学习CV算法以及相应的知识。也欢迎大家关注我的公众号WeThinkIn。

公众号原文:

【CV算法兵器】“晓风残月” ->对抗攻击“兵器”大放送(综述篇)

1 写在前面

【CV算法兵器】栏目专注于分享CV算法与机器学习相关的核心模型,高价值论文以及工业界经典的工作,欢迎大家一起交流学习

大家好,我是Rocky。

汉唐盛世,英雄辈出。长安有一商人,经商于塞外。逢长安大帅狼欲出塞作逍遥游,遂赠一刀,其势迅如晓风,刃如残月,大帅狼啧啧称奇。“此非中土大唐之物,乃是海外大食国宝刀,在此赠予少侠,愿助少侠行走四方。”二人惜别于漠北。

“晓风残月”由此流芳。

话说CV算法兵器一谱,“晓风残月”赫然在列,其名对抗攻击,其分支多样,在算法江湖可谓是一把利器。

So,enjoy(与本文的BGM一起食用更佳哦):

2 干货篇

2.1 目录先行

  1. 对抗攻击是何兵器?
  2. 对抗攻击“兵器谱”梳理
  3. 对抗攻击高价值“兵器”大放送
  4. 对抗攻击在工业界的价值

2.2 对抗攻击是何兵器?

对抗攻击(adversarial attack)是AI安全方向的重要分支,其核心逻辑是在数据中增加一些微小扰动,在人类视觉系统无法察觉的情况下,使得算法模型对这些数据产生误判。其中被增加扰动的数据也称为对抗样本

下面是一些直观的通过增加对抗噪声来让算法模型误判的例子:
在这里插入图片描述
在这里插入图片描述

**怎么理解对抗样本呢?**我把它当作生成噪声的艺术,其攻击价值的底层依托是算法模型的过拟合问题。

2.3 对抗攻击“兵器谱”梳理

首先,我们梳理的“晓风残月”兵器谱总体分支与逻辑:
在这里插入图片描述

【一】白盒攻击

当算法模型与训练数据都被攻击者所掌握,并且攻击者在此基础上进行的针对性攻击称为白盒攻击。

但是很显然,算法模型与训练数据一般都是商业机密,想要获得这些信息是高成本的,也是不太现实的,所以白盒攻击的实用价值受到很大限制。

【二】黑盒攻击

在对算法模型的结构和参数一无所知,甚至相关训练数据也一无所知的情况下,进行攻击的过程称为黑盒攻击。

这种情况跟工业界遇到的实际场景较为符合,是工业界关注的重点,也是学术界研究的重点方向

黑盒攻击主要分为基于迁移的攻击和基于查询的攻击两大类。

基于迁移的攻击逻辑由白盒攻击延伸而来,一般会有一个白盒模型作为替身模型(surrogate)进行攻击,而生成的对抗样本一般也会对其他模型有一定的迁移攻击性。

基于查询的攻击其主要是通过查询黑盒模型的输出信息,对黑盒模型进行直接的攻击,但完成整个攻击流程往往需要大量的查询,容易被模型所有者检测到异常。

【三】有目标/无目标攻击再者,基于此我们再介绍两个有趣的攻击策略:

有目标攻击(targeted attack):通过攻击使得模型将特定数据错误输出到指定的label上。
无目标攻击:通过攻击使得模型将特定数据错误输出到除真实label外的其他任何label上。

2.4 对抗攻击高价值“兵器”大放送

在这个章节中,我们将介绍对抗攻击“兵器谱”中各路高价值的“兵器”。

【一】基于迁移的攻击

首先,我们介绍最经典的FGSM算法,YOLOv4使用的SAT(self adversarial training)技术就是基于FGSM开展。

【1】FGSM(Fast Gradient Sign Method) 是第一个使用模型梯度信息来进行对抗攻击的算法。

**为什么使用梯度信息进行攻击会有效果呢?**直观地来说,我们想要模型输出错误预测,那就要增大模型对输入数据的loss,而这正好与模型训练时往梯度下降,loss减少的方向相反。

由于模型的参数与结构保持不变,那么我们只有通过原图+梯度信息->更新图像的步骤来实现这个逻辑。
在这里插入图片描述

【2】I-FGSM(Iterative Fast Gradient Sign Method)是FGSM算法的一个优化版本。其在FGSM基础上引入了迭代攻击的思想,将多次攻击后的数据作为最终的对抗样本。

在这里插入图片描述

【3】MI-FGSM(Momentum Iterative Fast Gradient Sign Method)在I-FGSM基础上引入了动量思想,解决对抗样本陷入局部极小值而导致迁移性能下降的问题,并使攻击过程更加稳定。

在这里插入图片描述

【4】DI^2-FGSM(Diverse Inputs Iterative Fast Gradient Sign Method)是在I-FGSM基础上增加输入多样化思想。在每次迭代攻击时,对输入数据进行随机变换,减少过拟合现象。

在这里插入图片描述

【5】TI-FGSM(translation-invariant method and the fast gradient sign method)在I-FGSM基础上引入了梯度平滑思想。将梯度信息进行高斯平滑操作,减弱对抗样本与特定模型的相关性,增强其迁移性能。
在这里插入图片描述

【6】AOA(attack on attention)是在FGSM系列基础上攻击heatmap的算法。其认为不同模型对相同图像会产生相似的heatmap,故攻击不同模型的相似特征,增强对抗样本的迁移性。
在这里插入图片描述

【二】基于优化的攻击

基于优化的攻击算法的基本逻辑是将攻击流程转换为一个优化问题,以更小的扰动来生成更加高效的对抗样本。

【1】C&W攻击算法(Carlini and Wagner Attacks)是将对抗攻击转化成一个优化问题:优化扰动后的图像,使其和原始图像的距离最接近。论文中给出了很多可行的目标函数:
在这里插入图片描述

并且在训练过程中在L1,L2,L无穷三种范数约束下进行攻击。C&W算法的优势是其对抗样本扰动很微小,比起FGSM系列算法更不可见。其劣势是攻击训练的时间非常长,攻击成本较高。

【2】Deepfool攻击算法是基于超平面分类的攻击方法,其通过迭代计算的方法生成最小规范对抗扰动,将位于分类边界内的图像逐步推到边界外,直到出现错误预测。

在这里插入图片描述

【三】基于GAN的攻击

首先,我依然坚信GAN会在工业界广泛落地。

在这里,我们先介绍基于GAN的经典对抗攻击算法->AdvGAN。

【1】AdvGAN将GAN思想引对抗攻击,通过生成器生成对抗扰动,添加到干净样本中。而判别器主要负责判别输入的是对抗样本还是干净样本。整个对抗训练过程转化成GAN经典博弈过程。
在这里插入图片描述

【2】AdvGAN++的核心思想是在AdvGAN基础上引入分类器中的隐层向量信息作为GAN的输入来生成对抗样本。
在这里插入图片描述

【3】AdvFaces是针对人脸算法的对抗攻击。其在AdvGAN基础上引入人脸的身份匹配信息从而产生人脸对抗样本。

在这里插入图片描述

2.5 对抗攻击在工业界的价值

随着深度学习与AI算法在工业界不断落地,AI安全已经成为一个算法解决方案的重要关注方向。

对抗攻击作为AI安全方向中的一个分支,其能让算法解决方案提供方对攻击者知己知彼,促进算法模型去提升其的鲁棒性与防御性。

对抗攻击工业界价值梳理:

  1. 促使防御方法的发展与繁荣。
  2. 通过对抗训练来优化算法模型。
  3. 促使算法解决方案考虑特定场景下的攻击威胁处理策略与即时防御策略。
  4. 更多潜在价值等待我们挖掘~

3 精致的结尾

最后,感谢大家读完这篇文章,希望能给大家带来帮助~我后续将在AI安全方向持续深耕,去完成更多的AI安全解决方案与有价值的研究,希望能与大家一起学习交流~

最后的最后,我运营了一个技术交流群(WeThinkIn-技术交流群),这个群的初心主要聚焦于技术话题的讨论与学习,包括但不限于CV算法,算法,开发,IT技术等。欢迎大家入群一起学习交流~(可以私信我加群/加我微信USTB-Rocky,我拉你进群~)

在这里插入图片描述