×
孙彩霞邹丽安Cien风扇Shi、Yu刘一峰

利用多尺度特征攻击增强对抗性攻击的可转移性。 (英语) Zbl 1493.68334号

国际小波多分辨率。信息处理。 19,第2号,文章ID 2050076,18 p.(2021).
概要:深度神经网络容易受到对抗性示例的攻击,这些示例可以通过添加精心设计的扰动来愚弄模型。一个有趣的现象是,对抗性示例通常具有可转移性,从而使黑盒攻击在实际应用中有效。然而,现有方法生成的对抗性示例通常超出了源模型的结构和特征表示,导致黑盒方式的成功率较低。为了解决这个问题,我们提出了多尺度特征攻击来提高攻击的可转移性,它调整对抗性图像的内部特征空间表示,使其远离原始图像的内部表示。我们表明,我们可以选择源模型的一个低层和一个高层来进行扰动,并且精心制作的对抗性示例不仅在类中,而且在特征空间表示中都与原始图像混淆。为了进一步提高对抗实例的可传递性,我们应用反向交叉熵损失进一步减少过拟合,并表明它对于攻击具有强大防御能力的对抗训练模型是有效的。大量实验表明,在具有挑战性的黑盒设置下,该方法始终优于迭代快速梯度符号法(IFGSM)和动量迭代快速梯度标记法(MIFGSM)。

MSC公司:

68T07型 人工神经网络与深度学习
68平方米25 计算机安全

关键词:

深度神经网络对抗性示例黑匣子攻击多尺度特征攻击

软件:

开胃-v4AlexNet公司深度SDFImageNet公司
PDF格式BibTeX公司 XML格式引用
\textit{C.Sun}等人,Int.J.Wavelets多分辨率。信息处理。19,第2号,文章ID 2050076,18页(2021;Zbl 1493.68334)
全文: 内政部

参考文献:

[1] E.Ackerman,《How drive.ai is masting autonomous driving with deep learning》,IEEE Spectrum Magazine1(2017)。
[2] S.Baluja和I.Fischer,《对抗性转化网络:学习生成对抗性示例》,预印本(2017),arXiv:1703.09387。
[3] Carlini,N.和Wagner,D.,《评估神经网络的鲁棒性》,IEEE Symp.(2017年)。安全与隐私(SP),IEEE(2017),第39-57页。
[4] M.Cisse,Y.Adi,N.Neverova和J.Keshet,Houdini:愚弄深层结构预测模型,预印本(2017),arXiv:1707.05373。
[5] Diakonikolas,I.、Gouleakis,T.和Tzamos,C.,《马萨特噪声下半空间的分布无关PAC学习》,高级神经信息。过程。系统。,第32卷(加拿大不列颠哥伦比亚省温哥华,2019年),第4751-4762页。
[6] 董毅、廖峰、庞峰、苏峰、朱峰、胡峰、李峰,以动量推进对抗性攻击,Proc。IEEE Conf.Computer Vision and Pattern Recognition,犹他州盐湖城,(2018),第9185-9193页。
[7] G.K.Dziugaite、Z.Ghahramani和D.M.Roy,JPG压缩对对手图像影响的研究,预印本(2016),arXiv:1608.00853。
[8] I.Evtimov、K.Eykholt、E.Fernandes、T.Kohno、B.Li、A.Prakash、A.Rahmati和D.Song,深度学习模型的稳健物理世界攻击,预印本(2017),arXiv:1707.08945。
[9] I.J.Goodfellow、J.Shlens和C.Szegedy,《解释和利用对抗性示例》,预印本(2014),arXiv:1412.6572。
[10] 何凯,张,X,任,S和孙,J,图像识别的深度剩余学习,Proc。IEEE Conf.Computer Vision and Pattern Recognition,内华达州拉斯维加斯,(2016),第770-778页。
[11] He,K.,Zhang,X.,Ren,S.和Sun,J.,深度剩余网络中的身份映射,欧洲计算机视觉会议,Springer(2016),第630-645页。
[12] Hu,J.,Shen,L.和Sun,G.,挤压和激励网络,Proc。IEEE Conf.Computer Vision and Pattern Recognition,犹他州盐湖城,(2018),第7132-7141页。
[13] Inkawhie,N.、Wen,W.、Li,H.H.和Chen,Y.,特征空间扰动产生更多可转移的对抗性示例,IEEE/CVF Conf.计算机视觉与模式识别,加利福尼亚州长滩,(2019),第7059-7067页。
[14] S.Ioffe和C.Szegedy,《批量规范化:通过减少内部协变量偏移加快深层网络训练》,预印本(2015),arXiv:1502.03167。
[15] T.Jeruzalski、B.Deng、M.Norouzi、J.Lewis、G.Hinton和A.Tagliasacchi,美国国家航空航天局:神经关节形状近似,预印本(2019年),arXiv:1912.03207。
[16] Krizhevsky,A.、Sutskever,I.和Hinton,G.E.,深度卷积神经网络的ImageNet分类,高级神经信息。过程。系统60(6)(2012)1097-1105。
[17] A.Kurakin、I.Goodfellow和S.Bengio,《物理世界中的对手示例》,预印本(2016),arXiv:1607.02533。
[18] A.Kurakin、I.Goodfellow和S.Bengio,《大规模对抗性机器学习》,预印本(2016),arXiv:1611.01236。
[19] Kurakin,A.,Goodfellow,I.,Bengio,S.,Dong,Y.,Liao,F.,Liang,M.,Pang,T.,Zhu,J.,Hu,X.,Xie,C.等人,《对抗性攻击和防御竞争》,NIPS’17竞赛:构建智能系统(Springer,2018),第195-231页。
[20] H.Lee、S.Han和J.Lee,《生成性对抗训练器:用GAN防御对抗性扰动》,预印本(2017),arXiv:1705.03387。
[21] Lee,K.,Park,C.,Kim,N.和Lee,J.,加速基于递归神经网络语言模型的在线语音识别系统,\(2018\)IEEE国际会议声学、语音和信号处理(ICASSP),IEEE(2018),第5904-5908页。
[22] Liao,F.,Liang,M.,Dong,Y.,Pang,T.,Hu,X.和Zhu,J.,使用高级表示引导去噪器防御对抗性攻击,Proc。IEEE Conf.Computer Vision and Pattern Recognition,犹他州盐湖城,(2018),第1778-1787页。
[23] Y.Liu、X.Chen、C.Liu和D.Song,《探究可转移的对抗性示例和黑盒攻击》,预印本(2016年)。arXiv:1611.02770。
[24] N.Papernot,P.McDaniel和I.Goodfellow,机器学习中的可转移性:从现象到使用对抗性样本的黑箱攻击,预印本(2016),arXiv:160507277。
[25] N.Papernot、P.McDaniel、A.Sinha和M.Wellman,《走向机器学习中的安全和隐私科学》,预印本(2016),arXiv:1611.03814。
[26] Park,J.J.,Florence,P.,Straub,J.,Newcombe,R.和Lovegrove,S.,DeepSDF:学习形状表示的连续符号距离函数,Proc。IEEE Conf.Computer Vision and Pattern Recognition,加利福尼亚州长滩,(2019),第165-174页。
[27] Rao,Q.和Frtunikj,J.,《自动驾驶汽车的深度学习:机遇与挑战》,Proc。第一届自动系统人工智能软件工程国际研讨会,哥德堡,(2018),第35-38页。
[28] Reddy,M.K.、Aditya,G.和Babu,R.V.,用于构建通用对抗扰动的通用无数据目标,IEEE Trans。模式分析。机器。情报41(10)(2018)2452-2465。
[29] Ross,A.S.和Doshi-Velez,F.,《通过正则化深度神经网络的输入梯度提高其对抗性鲁棒性和可解释性》,《第三十二届AAAI人工智能大会》(美国路易斯安那州,2018年),第1660-1669页。
[30] Sabour,S.、Cao,Y.、Faghri,F.和Fleet,D.J.,深度表征的对抗操纵,第四届学习表征国际会议,Bengio,Y.&LeCun,Y.(编辑)(波多黎各圣胡安,2016年5月2-4日),http://arxiv.org/abs/1511.05122。
[31] K.Simonyan和A.Zisserman,《用于大规模图像识别的极深卷积网络》,预印本(2014),arXiv:1409.1556。
[32] Szegedy,C.,Ioffe,S.,Vanhoucke,V.和Alemi,A.A.,《Inception-v4,Incepton-ResNet和剩余联系对学习的影响》,《第三十届AAAI人工智能大会》(美国加利福尼亚州旧金山,2017),第4278-4284页。
[33] Szegedy,C.、Vanhoucke,V.、Ioffe,S.、Shlens,J.和Wojna,Z.,《重新思考计算机视觉的初始架构》,Proc。IEEE Conf.计算机视觉和模式识别,内华达州拉斯维加斯,(2016),第2818-2826页。
[34] C.Szegedy、W.Zaremba、I.Sutskever、J.Bruna、D.Erhan、I.Goodfellow和R.Fergus,《神经网络的有趣特性》,预印本(2013),arXiv:1312.6199。
[35] F.Tramèr、A.Kurakin、N.Papernot、I.Goodfellow、D.Boneh和P.McDaniel,合奏对抗训练:攻击和防御,预印本(2017),arXiv:1705.07204。
[36] E.Wong和J.Z.Kolter,《通过凸外部对抗性多边形对抗性示例的可证明防御》,预印本(2017),arXiv:1711.00851。
[37] C.Xie,J.Wang,Z.Zhang,Z.Ren和A.Yuille,《通过随机化缓解对抗效应》,预印本(2017),arXiv:1711.01991。
[38] Yosinski,J.、Clune,J.,Bengio,Y.和Lipson,H.,深度神经网络中特征的可转移性如何?,高级神经信息。过程。系统27(2014)3320-3328。
[39] Yuan,X.,He,P.,Zhu,Q.和Li,X.《对抗性示例:深度学习的攻击和防御》,IEEE Trans。神经网络。学习。系统30(2017)2805-2824。
[40] Zhang,Geiger,J.,Pohjalainen,J.、Mousa,A.E.-D.、Jin,W.和Schuller,B.,《环境稳健语音识别的深度学习:最新发展概述》,ACM Trans。智力。系统。技术9(5)(2018)1-28。
[41] Zhou,B.,Khosla,A.,Lapedriza,A.,Oliva,A.和Torralba,A.,学习区分性本地化的深层特征,Proc。IEEE Conf.Computer Vision and Pattern Recognition,内华达州拉斯维加斯,(2016),第2921-2929页。
[42] Zhou,W.、Hou,X.、Chen,Y.、Tang,M.、Huang,X.,Gan,X.和Yang,Y.,《可转让对抗性扰动》,《欧洲计算机视觉会议》(慕尼黑,2018),第452-467页。
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。