1. 提交的部分对抗样本
原始图像:
生成对抗样本:
(Targeted;eps:34)
(NonTargeted;eps:64)
2. 解题思路
本次比赛是黑盒攻击问题,我们自然选择当前最强的防御方案作为我们的攻击对象。我们的攻击方案中选取了来自于论文《Feature Denoising for Improving Adversarial Robustness》中的两个模型进行联合,这两个模型是论文中的Resnet152Denoised模型和ResneXt101Denoised模型。此外,我们复现了论文《Barrage of Random Transforms for Adversarially Robust Defense》,区别是我们用的训练集仅仅是比赛的图片而不是整个ImageNet,用一个小型的防御模型作为第三个模型进行联合。实验证明这个小型模型对于来自普通模型和Resnet152Denoised、ResneXt101Denoised的对抗噪声具有很强的鲁棒性,由这些模型生成的对抗样本都很难迁移到这个小模型上。白盒攻击方面,我们对这个小模型进行200代定向攻击迭代,攻击成功率只有16%左右。这个鲁棒的小模型成为我们的第三个攻击对象。
3. 攻击算法
我们要攻击的模型对非定向比较脆弱,但是对定向攻击的防御性能很强。我们使用I-FGSM作为基础,对于非定向攻击,我们进行50次迭代,对于定向攻击,我们进行1000次迭代。
迭代算法中我们使用了6个小策略:
1.Input Diversity
来自论文《Improving Transferability of Adversarial Examples With Input Diversity》。算法的基本思路是在每次迭代时对图片进行一些小变换。我们在原文变换基础上加多了几种变换(如旋转,翻转)。
2.Momentum
来自论文《Boosting Adversarial Attacks With Momentum》。算法的基本思路是将动量梯度下降的优化方法引入到生成对抗样本的迭代中。
3.对噪声进行高斯模糊
来自论文《Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks》。对这几个鲁棒模型进行定向攻击的难度非常大。分析原因,是因为其中两个采取了去噪方法,另一个采取了巨量随机变换堆叠的方法,都产生了类似(但不是)梯度掩码的现象,导致在对他们进行梯度型攻击时,梯度包含的信息很少,也就是噪声很干净。为了克服这一点,我们使用了一些策略来挖掘更多的噪声。
4.可变步长搜索
在迭代时,计算当前像素点与L无穷范数限制的边界之差,若差越小,则迭代步长越大。实验证明这对增强迁移性和白盒攻击都有效。
5.目标类图像融合
在迭代之前按一定比例融合属于目标类的图片。专门为了增强定向攻击使用。实验证明这对增强迁移性有效。
6.放宽搜索区域
对于定向攻击,我们使用34的eps作为最大扰动限制,对于非定向攻击,我们使用64的eps作为最大扰动限制。实验证明这对白盒攻击有效。
实际攻击时,我们选取了部分非定向图片和部分定向图片合并提交。定向图片的选取标准是至少对2个模型定向攻击成功。
4. 代码分享
-
模型:
本次比赛中主要使用的模型是Facebook所提供的三个Tensorflow框架下的模型以及一个复现论文的模型,四个模型下载链接如下: -
代码:
-
可能会出现的小问题:
- 因为Facebook提供的原模型联合起来有命名问题,因此我们团队进行重新压缩整理后,即可以正常联合模型攻击了。
- 解决方案:下载完毕后,使用压缩软件打开,然后解压缩
新建一个R152文件夹,将R152.npz解压出的所有文件放入这个文件夹中,重新压缩为zip文件,重命名为R152_rename.npz,但是我们的最终方案中不利用此模型。
新建一个R152_Denoise文件夹,将R152-Denoise.npz解压出的所有文件放入这个文件夹中,重新压缩为zip文件,重命名为R152-Denoise_rename.npz
新建一个X101_Denoise文件夹,将X101-DenoiseAll解压出的所有文件放入这个文件夹中,重新压缩为zip文件,重命名为X101-DenoiseAll_rename.npz
在代码中加载以上npz文件,搜索并修改default=’'中单引号内的内容即可。
5. 团队简介
Double*团队
6. 参考引用
-
Cihang Xie, Yuxin Wu, Laurens van der Maaten, Alan L. Yuille, Kaiming He; “Feature Denoising for Improving Adversarial Robustness”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 501-509
-
Edward Raff, Jared Sylvester, Steven Forsyth, Mark McLean; “Barrage of Random Transforms for Adversarially Robust Defense”,The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 2730-2739
-
Cihang Xie, Zhishuai Zhang, Yuyin Zhou, Song Bai, Jianyu Wang, Zhou Ren, Alan L. Yuille; “Improving Transferability of Adversarial Examples With Input Diversity”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 6528-6537
-
Yinpeng Dong, Fangzhou Liao, Tianyu Pang, Hang Su, Jun Zhu, Xiaolin Hu, Jianguo Li; “Boosting Adversarial Attacks With Momentum”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2018, pp. 9185-9193
-
Yinpeng Dong, Tianyu Pang, Hang Su, Jun Zhu; “Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks”.