【扩散对抗】AdvDiffuser: Natural Adversarial Example Synthesis with Diffusion Models

原文标题: AdvDiffuser: Natural Adversarial Example Synthesis with Diffusion Models
原文代码: https://github.com/lafeat/advdiffuser
发布年度: 2023
发布期刊: ICCV


目录

    • 摘要
      • 背景
      • 创新点
      • 模型
        • Adversarial Guidance
        • Adversarial Inpainting
      • 实验
      • 结论

摘要

Previous work on adversarial examples typically involves a fixed norm perturbation budget, which fails to capture the way humans perceive perturbations. Recent work has shifted towards natural unrestricted adversarial examples (UAEs) that breaks `p perturbation bounds but nonetheless remain semantically plausible. Current methods use GAN or VAE to generate UAEs by perturbing latent codes. However, this leads to loss of high-level information, resulting in low-quality and unnatural UAEs. In light of this, we propose AdvDiffuser, a new method for synthesizing natural UAEs using diffusion models. It can generate UAEs from scratch or conditionally based on reference images. To generate natural UAEs, we perturb predicted images to steer their latent code towards the adversarial sample space of a particular classifier. We also propose adversarial inpainting based on class activation mapping to retain the salient regions of the image while perturbing less important areas. On CIFAR-10, CelebA and ImageNet, we demonstrate that it can defeat the most robust models on the RobustBench leaderboard with near 100% success rates. Furthermore, The synthesized UAEs are not only more natural but also stronger compared to the current state-of-the-art attacks. Specifically, compared with GA-attack, the UAEs generated with AdvDiffuser exhibit 6⇥ smaller LPIPS perturbations, 2 ⇠ 3⇥ smaller FID scores and 0.28 higher in SSIM metrics, making them perceptually stealthier. Finally, adversarial training with AdvDiffuser further improves the model robustness against attacks with unseen threat models.


背景

此外,深度模型在现实场景中面临着来自不受限制的对抗性示例(UAE)的更大威胁。UAE可以对图像进行广泛的更改,而不会显着影响人类对其含义和可信度度的感知,因此已成为过去几年对抗性攻击研究的一个突出方向。UAE不像之间使用Lp对噪声点进行截断,那如何判断生成噪声的察觉性成为了一个较重要的问题。

基于梯度的无限制对抗性攻击会在预定义的扰动范围内扰乱原始图像。“Geometry-aware attacks” 使用代理模型来最小化所需的 p 预算,并在无限制对抗性攻击的 由较好的效果。另一方面,“perceptual attacks” 使用感知距离的界限来优化扰动。其他人则考虑图像重新着色 。然而,选择代理模型和距离度量需要主观先验知识来生成看起来真实的对抗性示例。

生成对抗网络(GAN)等生成模型能够有效地从数据分布中学习和采样。这就是为什么使用它们来生成对抗性示例。这些方法搜索潜在空间中的扰动,这些扰动可能导致目标模型在解码后对图像进行错误分类,以找到对抗性示例。然而,扰动潜在代码以人类感知上显着的方式改变了生成图像的高级语义。这种扰动可能会在某些图像属性中引入歧义,并明显扭曲原始概念,导致UAE通常语义模糊且质量较差。因此,这些UAE在感知上可能与原始示例有很大不同。

创新点

为了解决这些问题,我们提出了 AdvDiffuser,一种基于扩散模型的新型生成式无限制对抗攻击。扩散模型从非平衡热力学中汲取灵感,它定义了添加噪声图像扩散步骤的马尔可夫过程,然后学习反转扩散过程以从噪声图像生成数据样本。这使得经过训练的扩散模型能够以高保真度和多样性对数据分布进行采样。在第3.1节中,我们利用并修改了预训练扩散模型的后向去噪过程,并注入可以成功攻击防御模型的小的对抗性扰动。扩散模型以去噪为目标进行训练,因此可以有效去除明显的对抗性噪声,同时保留攻击能力,从而产生自然出现的UAE。为了实现更现实的结果,我们引入了对抗性修复,它利用从基于梯度的类激活映射(GradCAM)派生的掩模[35]。它根据对象显着性调整每个像素的去噪强度,确保包含重要对象的区域经历较小的修改。由于 AdvDiffuser 在像素级别扰动图像,因此与基于 GAN 的方法生成的感知扰动相比,它产生的感知扰动要小得多。因此,我们的方法生成的最终 UAE 比基于梯度或基于 GAN 的方法合成的阿联酋更加自然且不易察觉。除了图像条件攻击之外,AdvDiffuser 还提供了优于其他无限制对抗性攻击的另一个优势,因为它能够制作无限数量的合成但自然的对抗性示例。这有可能为未来的防御技术提供更全面的鲁棒性训练和评估。

模型

图 1 提供了 AdvDiffuser 算法的高级概述。该算法首先计算受攻击图像的 Grad-CAM,利用防御模型和地面实况标签形成显着对象的掩模。然后,它迭代地使用预训练的扩散模型,对潜在图像 xt 1 进行去噪。随后,对图像执行 2-bounded PGD 攻击。接下来,AdvDiffuser 使用预先计算的掩模在生成的攻击图像和噪声原始图像之间进行插值。通过重复 T 步去噪过程,它形成了一个添加对抗性扰动的过程,同时从注入的噪声中去除不自然的成分。因此,我们可以生成语义上接近原始样本的对抗性示例,但包含基于形状的对抗性扰动,展现出详细的多样性。
在这里插入图片描述

Adversarial Guidance

我们引入对抗性指导,使用扩散模型生成自然对抗性示例。因此,可视为迭代解决以下优化问题:
在这里插入图片描述

在每个步骤中,该过程首先对先前受到扰动的潜在变量 ̃ xt 1 进行去噪,然后引入欺骗防御分类器 f 的对抗性扰动。因此,它形成了一个鞍点解决方案,扩散模型(生成模型)在尽量准确生成数据样本,试图最小化生成样本的负对数似然。而防御分类器则面临增加对抗样本的攻击性,通过增加对抗损失,诱导模型对这些样本的预测出现错误。

为了优化公式(5),我们采用投影梯度下降(PGD)攻击,通过迭代 i∈[0 : I-1] 来找到参考图像 z0 的近似解 zI:
在这里插入图片描述

Pz,ϵ代表噪声的约束。我们进一步使用归一化SCE损失作为最大化目标函数L,而不是传统的SCE损失,因为它被证明更有效地产生成功的攻击。我们令 zI =PGD(z0,f,",I) 表示上述过程。

最后,令ϵ= δβ,其中 δ∈[0, 1] 调整对抗性引导的强度。因此,对抗性扰动始终小于扩散模型使用的噪声尺度,并且随时间递减。

Adversarial Inpainting

对抗性修复基于参考图像创建看起来自然的对抗性示例。该过程确保生成的图像与参考图像非常相似,同时还操纵背景纹理、形状或对象等方面,防御分类器可能将其视为包含不相关的特征。目标是生成一个可以成功欺骗防御分类器的图像,同时最好保留原始图像中的显着对象。

该过程首先使用梯度加权类激活映射(Grad-CAM)识别真实标签 y 的参考图像 x0 中的显着区域。 GradCAM 有助于根据防御分类器 f 定位 y 相应对象的类特定区域。然后,定位进一步归一化为 [0, 1],成为显着对象的掩码:
在这里插入图片描述
每个去噪步骤 t 中:
在这里插入图片描述

实验

  1. Synthetic Adversarial Examples from Scratch
    我们首先比较了AdvDiffuser与ACGAN 。为了进行这种比较,我们使用了相同的鲁棒性别分类器,它的自然准确率为97.3%,对PGD-50攻击的鲁棒准确率为76.5%。如表 1 所示,AdvDiffuser 在攻击成功率、FID分数和样本生成速度方面优于 AC-GAN。图 2 可视化生成的UAE,AdvDiffuser可以生成更自然的人脸图像。
  2. UAE
    对于图像依赖的UAE合成,我们将AdvDiffuser与当前的SOTA,几何感知(GA)攻击进行了比较。
  • CIFAR-10

我们使用正常训练的 WideResNet-28-10 模型(标准)作为 CIFAR-10 的standrad,并纳入了 RobustBench 排行榜 [6] 中 '2 扰动中前三名最鲁棒的模型。这些模型是 [29] 中的两个 WideResNet70-16 模型。在前一种模型中(Rebuffi et al.A),使用外部数据进行训练,而后者(Rebuffi等人B)使用由在现有训练数据上训练的DDPM生成的图像。此外,我们还包括Gowal等[10]的WideResNet-70-16模型。如图 4 所示,我们的攻击方法可以生成与原始图像相似但具有不同特征的对抗样本。表 2 提供了各个模型的攻击成功率。在附录 D 中,我们进一步比较了 DiffPure 下的攻击方法,DiffPure 是一种利用扩散模型来净化对抗性扰动的防御机制。

这里没看懂,我怀疑要么表格有错误,要么就是这个方法在CIFAR-10上的攻击效果真的很烂
在这里插入图片描述

  • ImageNet
    首先,关于图像的生成质量来说。GA攻击变体通常对防御有效。然而,如图5所示,它们在一定程度上改变了图像的整体颜色,造成了显著的颜色偏移。另一方面,GA-PGD产生的扰动在低信息区域(例如背景天空)很容易被注意到。相比之下,本文的UAEs更加现实。
    如表3所示,AdvDiffuser不仅比两种GA变体具有更高的成功率,而且更难以识别,具有更高的SSIM,更低的LPIPS和FID评分。

图6描述了FID、平均l∞、LPIPS和SSIM距离指标w.r.t.攻击成功率,因为我们改变了每次攻击的强度。该图显示,AdvDiffuser的表现一直优于其他,因为除了l∞距离指标外,它对所有指标都产生了微小的变化。排除l∞距离,因为这不是本文优化的目标,图5显示l∞有界攻击产生明显的伪影。此外,它与所考虑的感知指标无关。

在图7中放大并显示了由各自攻击所增加的扰动。研究结果表明,扰动与“形状特定”的变化是一致的,与自然图像分布一致。还证明,即使在明显的扰动下,本文的UAEs也可以保持图像的原始语义内容。这一观察结果验证了将反向去噪过程和对抗引导结合起来产生的扰动更接近于干净图像分布的观点。相反,观察到GA-PGD产生的UAEs具有高频噪声,具有可见的“纹理”偏差,因此可能看起来不太自然。

  1. Robustness against Unseen Threat Models

从表4上是对对抗性训练的CIFAR-10进行了一系列实验,图中“UAE”、“SAE”和“Mixed”都使用 AdvDiffuser 进行对抗性训练。“UAE”使用图像条件的 UAE,“SAE”从头开始生成对抗性示例,最后“Mixed”使用两者来训练鲁棒模型。。对使用传统的l2边界训练的模型,在面临Lp攻击时有较好的对抗鲁棒性。在更多的供给方式下,本文所有的防御都获得了针对所有威的一定程度的鲁棒性。

结论

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://xiahunao.cn/news/3227163.html

如若内容造成侵权/违法违规/事实不符,请联系瞎胡闹网进行投诉反馈,一经查实,立即删除!

相关文章

FlutterFlame游戏实践#15 | 生命游戏 - 演绎启动

theme: cyanosis 本文为稀土掘金技术社区首发签约文章,30天内禁止转载,30天后未获授权禁止转载,侵权必究! Flutter\&Flame 游戏开发系列前言: 该系列是 [张风捷特烈] 的 Flame 游戏开发教程。Flutter 作为 全平台 的 原生级 渲…

零基础做项目---五子棋对战---day02

用户模块 完成注册登录,以及用户分数管理~使用数据库来保存上述用户信息. 使用 MyBatis来连接并操作数据库了 主要步骤: 1.修改 Spring的配置文件,使数据库可以被连接上. 2.创建实体类,用户, User 3.创建Mapper接口~ 4.实现MyBatis 的相关xml配置…

【ffmpeg系列二点五】(失败,建议放弃)ubuntu下进行源码构建,给ffmpeg7.0.1添加hevc支持。

背景 windows下构建失败,ffmpeg对于flv-h265的处理得到新的报错。 开始ubuntu22下编译 pre:清除我们之前编译的nightly版本 sudo rm -rf /usr/local/bin/ffmpeg sudo rm -rf /usr/local/bin/ffprobe sudo rm -rf /usr/local/bin/ffserver sudo rm -…

轻松掌握图片压缩技巧,释放存储空间!

前言 在这个充满视觉冲击的时代,我们每天都在创造和分享图片。但你是否发现,手机和电脑的存储空间越来越不够用了?图片文件过大,不仅占用空间,还影响传输速度和网页加载。今天,就让我来教你几招&#xff0…

Python爬虫:BeautifulSoup的基本使用方法!

1.简介 Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析“标签树”等功能。它是一个工具箱,通过解析文档为用户提供需要抓取的数据,因为简单,所以不需要多少代码就可以写出一个完整的应用程序。 Beautiful Soup…

Python基础语法:变量和数据类型详解(整数、浮点数、字符串、布尔值)①

文章目录 变量和数据类型详解(整数、浮点数、字符串、布尔值)一、变量二、数据类型1. 整数(int)2. 浮点数(float)3. 字符串(str)4. 布尔值(bool) 三、类型转换…

生物打印后的生物力学过程

生物打印后的生物力学过程 3D生物打印技术在组织工程领域展现出巨大的潜力,但打印后组织的生物力学特性对其最终成功至关重要。本文将详细介绍打印后组织的生物力学特性及其在组织工程中的应用。 1. 打印后水凝胶交联 原位交联可以在生物打印过程中提供足够的机械…

LoRaWAN网络协议Class A/Class B/Class C三种工作模式说明

LoRaWAN是一种专为广域物联网设计的低功耗广域网络协议。它特别适用于物联网(IoT)设备,可以在低数据速率下进行长距离通信。LoRaWAN 网络由多个组成部分构成,其中包括节点(终端设备)、网关和网络服务器。Lo…

【Unity2D 2022:NPC】制作任务系统

一、接受任务 1. 编辑NPC对话脚本: (1)创建静态布尔变量用来判断ruby是否接受到任务 public class NPCDialog : MonoBehaviour {// 创建全局变量用来判断ruby是否接到任务public static bool receiveTask false; } (2&#xff…

类型“RouteRecordName”上不存在属性“includes”。 类型“symbol”上不存在属性“includes”

确定 route.name 运行时是 字符串,强制转换 为字符串。 removeRoute(id: string) { this.dynamRoute this.dynamRoute.filter(route > !(route.name as string).includes(id)) localStorage.setItem(dynamRoute, JSON.stringify(this.dynamRoute)) delete this.t…

4.3 设备管理

大纲 设备分类 输入输出 虚设备和SPOOLING技术

【C语言之高级编程】如何将指定变量或函数编译至固定的内存区域中?

如何将指定变量或函数编译至固定的内存区域? 1. 内存类型1.1 bss段(Block Started by Symbol)1.2 data段(data segment)1.3 text段(code segment/text segment)1.4 dec1.5 堆(heap&a…

绝区玖--人工智能物料清单 (AI BOM)

前言 AI BOM 涵盖了从输入模型的数据到为模型提供支持的基础设施以及将 AI 从概念转化为生产的过程的一切。 但为什么我们需要人工智能物料清单?答案在于当今世界人工智能/Gen AI系统的复杂性和关键性: 透明度和可重复性:AI BOM 提供所有组件…

python怎么求因数

要想做到python语言求因数方法,首先要明白其中的原理: 1、对由123456789这九个数字组成的9位数进行分解质因数。 2、1234576982x3x3x7x13x23x29x113,所以他的值因数是113。 3、总共有362880种可能,从中找出值因数中最小的数字和…

动态规划算法专题二--路径问题

目录 专题二: 路径问题 题五 不同路径 1、算法解析 1、确定状态: 2、状态转移方程: 3、初始化: 4、填表顺序: 5、返回值: 2、代码 题六 不同路径II 1、算法解析 1、确定状态: 2、状态…

前端面试题(CSS篇六)

一、浏览器如何判断是否支持 webp 格式图片 (1)宽高判断法。通过创建image对象,将其src属性设置为webp格式的图片,然后在onload事件中获取图片的宽高,如果能够获取,则说明浏览器支持webp格式图片。如果不能…

Qt:13.多元素控件(QLinstWidget-用于显示项目列表的窗口部件、QTableWidget- 用于显示二维数据表)

目录 一、QLinstWidget-用于显示项目列表的窗口部件: 1.1QLinstWidget介绍: 1.2属性介绍: 1.3常用方法介绍: 1.4信号介绍: 1.5实例演示: 二、QTableWidget- 用于显示二维数据表: 2.1QTabl…

Vue学习笔记(小满zs)

本文章记录一下我的学习笔记,供复习参考。🏆 向大佬学习!!! ⭐小满zs Nodejs Nodejs 三层组成 libuv(处理事件循环、I/O操作) 第三方库(处理HTTP等) V8引擎&#xff08…

Windows10系统下mysql5.6的安装步骤

1.下载mysql 下载地址:https://downloads.mysql.com/archives/community/ 在这里我们下载zip的包 2.解压mysql包到指定目录 3. 添加my.ini文件 # For advice on how to change settings please see # http://dev.mysql.com/doc/refman/5.6/en/server-configurat…

【欧美高端NFT链游--大嘴怪/小黄人】链游

#游戏#链游 呆萌的小黄人出现在大嘴怪的地盘上会发生什么有趣的事情呢?#动画#游戏#小黄人 大嘴怪与小黑人之间起了冲突,大嘴怪爆发了,他决定要给小黑人们一点颜色瞧瞧,用自己的拳头,以及??嘴巴!大嘴怪有…