1 引言
当前很多对抗攻击方法在白盒条件下都能达到非常高的攻击成功率,但在该条件下生成的对抗样本可迁移性较差。基于动量的攻击MI-FGSM是提高对抗样本可迁移性的一种非常有效方法,它将动量项集成到迭代过程中,可以通过为每个像素添加梯度的时间相关性来稳定梯度的更新方向。在该论文中作者认为对抗扰动中只有这种时序动量是不够的,还需要引入图像中空间域的梯度(就是以目标像素为中心的上下文像素的梯度)对于稳定梯度方向也很重要。因此,作者提出了一种新的方法,称为空间动量迭代 FGSM 攻击(SMI-FGSM),该方法通过考虑来自不同区域的上下文梯度信息,引入了从时域到空间域的动量累积机制。实验结果表明跟其它先进的方法相比,论文中的方法对多个主流的无防御和有防御模型实现了目前最高的迁移成功率。
论文链接:https://arxiv.org/abs/2203.13479
2 相关工作
在介绍本论文方法之前,先回顾一下基于梯度的对抗攻击的方法。给定一个由 θ \theta θ进行参数化的分类器网络 f θ f_\theta fθ,令 ( x , y ) (x,y) (x,y)表示的是干净样本和对应真实的标签。对抗攻击的目的是找到一个对抗样本 x a d v x^{adv} xadv,该样本在 x x x的邻域内,并且会使得分类器网络分类出错,具体形式如下所示: f θ ( x a d v ) ≠ y , s . t . ∥ x a d v − x ∥ p ≤ ϵ f_\theta(x^{adv})\ne y, \quad s.t. \quad \|x^{adv}-x\|_p\le \epsilon fθ(xadv)=y,s.t.∥xadv−x∥p≤ϵ其中 ϵ \epsilon ϵ表示最大的对抗扰动,通常情况下, L p L_p Lp范数中的 p p p取值为 0 0 0, 2 2 2和 ∞ \infty ∞。
- FGSM: 该方法是一个单步的迭代攻击方法,具体的公式如下所示 x a d v = x + ϵ ⋅ s i g n ( ∇ x J ( x , y ) ) x^{adv}=x+\epsilon \cdot \mathrm{sign}(\nabla_x J(x,y)) xadv=x+ϵ⋅sign(∇xJ(x,y)) 其中 ∇ x J \nabla_x J ∇xJ表示的是损失函数 J ( ⋅ ) J(\cdot) J(⋅)关于输入 x x x的梯度, s i g n ( ⋅ ) \mathrm{sign}(\cdot) sign(⋅)表示的是符号函数。
- I-FGSM: 该方法是FGSM的多步迭代版,具体的公式如下所示 x t + 1 a d v = x t a d v + α ⋅ s i g n ( ∇ x t a d v J ( x t a d v , y ) ) x_{t+1}^{adv}=x_t^{adv}+\alpha\cdot \mathrm{sign}(\nabla_{x_t^{adv}}J(x_t^{adv},y)) xt+1adv=xtadv+α⋅sign(∇xtadvJ(xtadv,y))其中 α \alpha α是每一步迭代的步长, x 0 a d v = x x_0^{adv}=x x0adv=x。在白盒攻击,中I-FGSM比FGSM更有效,但是对抗迁移性偏弱。
- MI-FGSM: 该方法将动量项整合到迭代攻击中用于稳定更新的梯度方向进而提高对抗样本的可迁移性 ,具体形式如下所示
{ g t + 1 = μ ⋅ g t + ∇ x J ( x t a d v , y ) ∥ ∇ x J ( x t a d v , y ) ∥ 1 x t + 1 a d v = x t a d v + α ⋅ s i g n ( g t + 1 ) \left\{\begin{aligned}g_{t+1}&=\mu \cdot g_t + \frac{\nabla_x J(x^{adv}_t,y)}{\|\nabla_x J(x_t^{adv},y)\|_1}\\x_{t+1}^{adv}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1})\end{aligned}\right. ⎩⎪⎨⎪⎧gt+1xt+1adv=μ⋅gt+∥∇xJ(xtadv,y)∥1∇xJ(xtadv,y)=xtadv+α⋅sign(gt+1) g t g_t gt表示的累计梯度, μ \mu μ表示的衰减因子。 - NI-FGSM: 该方法将nesterov用于迭代攻击中加速收敛进而可以大大提高对抗样本的可迁移性。 { g t + 1 = μ ⋅ g t + ∇ x J ( x t a d v + α ⋅ μ ⋅ g t , y ) ∥ ∇ x J ( x t a d v + α ⋅ μ ⋅ g t , y ) ∥ 1 x t + 1 a d v = x t a d v + α ⋅ s i g n ( g t + 1 ) \left\{\begin{aligned}g_{t+1}&=\mu \cdot g_t + \frac{\nabla_x J(x^{adv}_t+\alpha \cdot \mu \cdot g_t,y)}{\|\nabla_x J(x^{adv}_t+\alpha \cdot \mu \cdot g_t,y)\|_1}\\x_{t+1}^{adv}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1})\end{aligned}\right. ⎩⎪⎨⎪⎧gt+1xt+1adv=μ⋅gt+∥∇xJ(xtadv+α⋅μ⋅gt,y)∥1∇xJ(xtadv+α⋅μ⋅gt,y)=xtadv+α⋅sign(gt+1)由上公式可知,用 x t a d v + α ⋅ μ ⋅ g t x_t^{adv}+\alpha\cdot \mu\cdot g_t xtadv+α⋅μ⋅gt代替MI-FGSM中的 x t a d v x_t^{adv} xtadv。
- VMI-FGSM: 该方法考虑到了之前迭代过程中的梯度方差借此来微调当前的梯度,目的是可以稳定梯度更新的方向,具体的公式如下所示: g t + 1 = μ ⋅ g t + ∇ x J ( x t a d v , y ) + v t ∥ ∇ x J ( x t a d v , y ) + v t ∥ 1 g_{t+1}=\mu \cdot g_t + \frac{\nabla_x J(x_t^{adv},y)+v_t}{\|\nabla_x J(x_t^{adv},y)+v_t\|_1} gt+1=μ⋅gt+∥∇xJ(xtadv,y)+vt∥1∇xJ(xtadv,y)+vt其中 v t + 1 = 1 n ∑ i = 1 n ∇ x J ( x i , y ) − ∇ x J ( x t a d v , y ) v_{t+1}=\frac{1}{n}\sum\limits_{i=1}^n\nabla_x J(x_i,y)-\nabla_x J(x^{adv}_t,y) vt+1=n1i=1∑n∇xJ(xi,y)−∇xJ(xtadv,y),且有 x i = x t a d v + r i x_i=x_t^{adv}+r_i xi=xtadv+ri,这里的 r i r_i ri是在某个区间范围内的随机扰动。
- DI attack: 该方法主要是对输入样本进行多样化的变换,给对抗扰动带来随机性,借此来提高对抗样本的泛化性,其中变换的方式一般为随机调整尺寸,以特定概率加入padding。
- TI attack: 该方法利用输入图像的梯度与预定义的核矩阵卷积来计算梯度。由此产生的对抗样本对被攻击的白盒模型的区分区域不太敏感,并且能够以更高置信度去欺骗另一个模型,尤其是用于具有防御机制的黑盒模型。
- SI attack: 该方法引入深度学习模型的尺度不变性,并对输入图像的对抗扰动进行优化,以增强对抗样本的可转移性。
3 论文方法
动量机制不仅可以时序中进行梯度累积,而且也可以用在图像目标像素点的空间域中进行梯度累积。作者受此启发提出对一张图片进行随机变换并利用不同区域的信息生成一个稳定的梯度,具体的公式如下所示:
{ g t + 1 s = ∑ i = 1 n λ i ∇ x J ( H i ( x t a d v ) , y ) x t + 1 a d v = x t a d v + α ⋅ s i g n ( g t + 1 s ) \left\{\begin{aligned}g_{t+1}^s &= \sum\limits_{i=1}^n \lambda_i \nabla_x J(H_i(x^{adv}_t),y)\\x^{adv}_{t+1}&=x^{adv}_t + \alpha \cdot \mathrm{sign}(g_{t+1}^s)\end{aligned}\right. ⎩⎪⎪⎨⎪⎪⎧gt+1sxt+1adv=i=1∑nλi∇xJ(Hi(xtadv),y)=xtadv+α⋅sign(gt+1s)其中 H i ( ⋅ ) H_i(\cdot) Hi(⋅)用于对样本进行变换的函数, n n n表示输入样本在空间域变换的次数, λ i \lambda_i λi表示的是梯度权重,且有 ∑ λ i = 1 \sum \lambda_i=1 ∑λi=1,在论文中作者取 λ i = 1 n \lambda_i=\frac{1}{n} λi=n1。通过计算多重随机变换图像的平均梯度,这样可以得到目标像素周围的梯度空间动量累积。作者在迭代攻击中使用梯度的余弦相似度作为度量指标,SMI-FGSM与I-FGSM相比具有更高的相似性,这表明了SMI-FGSM产生的梯度更加稳定。SMI-FGSM可以与MI-FGSM相结合,从时间和空间两个方面同时稳定梯度的更新方向,进一步提高对抗迁移性的能力,具体的算法流程图如下所示:
4 实验结果
在单一模型设置下使用I-FGSM和SMI-FGSM进行对抗攻击。如下表所示,可以直观地发现SMI-FGSM在攻击白盒模型时与I-FGSM一样强大,它们的成功率都接近100%,但基于空间动量的攻击显著提高了对抗样本的对抗可转移性,这揭示了空间信息对于提高可转移性的重要性。
下表比较了论文的方法与MI-FGSM改进版本的对抗迁移性,可以发现SM2I-FGSM的性能大大优于其他方法,论文中的方法另一个突出的优点是在视觉上产生与原样本相似的对抗样本,这表明了所提出的攻击方法的优越性。
作者将DTS与MI-FGSM、NI-FGSM、VMI-FGSM和SM2I-FGSM组合为MI-FGSM-DTS、NI-FGSM-DTS、VMI-FGSM-DTS和SM2I-FGSM-DTS。由下表可知,在Inc-v3模型上生成对抗样本时,SM2I-FGSM-DTS的平均迁移成功率为81.9%。与平均成功率为64.8%的基准方法MI-FGSM-DTS相比,这是一个显著的改进,这也表明论文的方法具有更好的可扩展性,可以与现有方法结合,进一步提高基于迁移的黑盒攻击的成功率。
