科研速记(7):对抗样本篇-ICCV19-Sparse and Imperceivable Adversarial Attacks
一、摘要
Motivation
与pixel-wise 的扰动相比,高度稀疏的对抗攻击是更加危险的,因为更加不易被侦测到。
因此,本文的研究中心在于最小化对抗样本与干净样本之间的距离。
简述本文工作
- intergrate additional bounds on the component-wise perturbation
- pixels change only in the region of high variation
- avoid changes along axis-aligned edgs
- adv training (adapt the PGD attack to the -norm integrating componentwise constraints.)
二、三种攻击的对比
2.1. attack
所谓范数,指的是向量中不为零的个数。
所谓范数约束,指的是约束向量中不为零的个数的数量,但是并不控制不为零的元素的绝对值大小。
使用这种方法进行攻击可以约束攻击的pixel的数量,使得攻击更容易实现(因为在现实世界中pixel-wise的扰动是不很现实的。相比之下,patch等局部扰动形式则更加现实,所谓我们希望能探究稀疏的攻击。)。但是这种攻击为了保证攻击成功往往对于单个pixel的扰动是非常大的以至于人类视觉可以察觉。
2.2. + attack
这种做法是在2.1.的基础上加上一个无穷范数的约束来保证扰动比较小。但是这种方式的约束为了保证在各种极端情况下的扰动对人眼来说都很小会要求有一个比较小的上限(比如在纯色的区域,例如蓝天,在这种区域进行扰动就必须让扰动很小才行),这又会损害攻击性能。
2.3.-map attack (this paper)
本文的做法提出要利用不同区域的特性,来施加不同程度的无穷范数扰动上限约束。该约束的计算依赖于不同轴向的像素饱和度等级(一般来说,某区域的色彩越纯,越是高度饱和。)
这三种不同的攻击方式的视觉可见性如下:
可以看出,本文方法在视觉上的扰动是最轻的。
下标是实验效果对比,CornerSearch代表本文方法。