【摘要】:近年来,关于对抗样本所进行的研究,其目标之一就是能更好地评估防御模型的鲁棒性。为此,需要优化两个目标:其一,获得一个较低的L2 范数;其二,使图像被错误分类。在现阶段的强力攻击算法中,C&W 攻击算法通过使用二因子损失函数来实现这两个目标,并通过权重来平衡多次迭代产生的竞争目标。在多次迭代的情况下,被训练的防御模型具有强大的鲁棒性,但代价高昂。
近年来,关于对抗样本所进行的研究,其目标之一就是能更好地评估防御模型的鲁棒性。不同的攻击算法可以具有不同的攻击目标,比如最小化能导致错误分类的扰动,或者使攻击速度足够快,以更好地应用于模型的训练过程来生成鲁棒性更强的模型。其中,由 Carlini 和Wagner[36]提出的基于L2 范数限制的C&W 攻击算法具有强大的攻击效果,它也能够得到足够小的L2 范数,但这需要大量的迭代计算,导致该算法不适合应用在训练模型上。相对而言,单步攻击算法(如DeepFool 攻击)的速度足够快,但将其应用在模型训练上并不会有效提升模型的鲁棒性,尤其是在白盒环境下。因此,一种既能够产生有效攻击(生成对抗样本)并且保持低L2 范数,又能够减少迭代次数(即缩短攻击时间)、提升攻击效率的算法,对于训练一个鲁棒性更强的模型是必需的。
在设计攻击算法时,设定目标为最小化生成的对抗样本的范数。为此,需要优化两个目标:其一,获得一个较低的L2 范数;其二,使图像被错误分类。在现阶段的强力攻击算法中,C&W 攻击算法通过使用二因子损失函数来实现这两个目标,并通过权重来平衡多次迭代产生的竞争目标。在多次迭代的情况下,被训练的防御模型具有强大的鲁棒性,但代价高昂。(www.xing528.com)
为此,笔者所在的课题组在方向和范数去耦合法(Decoupling Direction and Norm,DDN)[52]的基础上提出了一种更有效的基于梯度的攻击算法。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
