[paper]SPATIALLY TRANSFORMED ADVERSARIAL EXAMPLES
本文提出了一种基于空间变换(spatially transformed)(smooth image deformation)的对抗样本生成算法。( L p L_p Lp距离较大,但图像更真实更不容易被检测)
之前的生成算法大多是将 L p L_p Lp范数作为损失函数,然后直接调整像素值。
两个重要因素
1)图片亮度和质量
2)几何关系
先前的大多数对抗攻击都建立在改变亮度和质量的基础上,同时假设在对抗扰动生成过程中图片的几何关系保持不变。
算法:
最小化空域局部形变,而不是传统的像素值 L p Lp Lp 距离。具体地,设输入图像为 x x x,输出的对抗样本为 x a d v x_adv xadv,每个像素的位移场为 f f f,则 x ( r ) = x a d v ( r + f ) x(r)=x_adv(r+f) x(r)=xadv(r+f),由于图像的空间是离散的,因此这里使用了双线性插值,而该操作是可微的。如下图所示:
x a d v i x_{adv}^{i} xadvi表示图像第 i i i个像素的像素值
( u a d v i , u a d v i ) (u_{adv}^{i},u_{adv}^{i}) (uadvi,uadvi)表示对抗图像 x a d v x_{adv} xadv的坐标
N ( u i , u i ) N(u^{i},u^{i}) N(ui,ui)是第 i i i个像素的四个相邻像素点 (top-left, top-right, bottom-left, bottom-right)的索引
优化目标:
其中 L a d v ( x , f ) = m a x ( m a x i ≠ t g ( x a d v ) i − g ( x a d v ) t , k ) L_{adv}(x,f)=max(\underset{i\neq t}{max}\ \ g(x_{adv})_i-g(x_{adv})_t,k) Ladv(x,f)=max(i=tmax g(xadv)i−g(xadv)t,k), g ( z ) g(z) g(z)表示模型的logits输出, t t t 为目标类别, k k k 是置信水平
较高的置信水平能保证生成对抗样本的鲁棒性。
最小化空间变换 f f f可以确保stAdv具有较高的感知质量。
为了计算 f f l o w f_{flow} fflow,需要计算任意两个相邻像素的空间移动距离之和。
we enforce the locally smooth spatial transformation perturbation L fl o w L_{flow} Lflow based on the total variation. Intuitively, minimizing the spatial transformation can help ensure the high perceptual quality for stAdv, since adjacent pixels tend to move towards close direction and distance.
投递阿里巴巴控股集团等公司10个岗位 >
