先介紹對抗攻擊的初級內容:
目前的圖像對抗攻擊分類:1、一般化攻擊,這類攻擊根本不需要知道要被攻擊的神經網絡是啥樣的,產生的對抗樣本具有通用的對抗性,多采用濾波的方式實現攻擊,如:
《Noise is Inside Me! Generating Adversarial Perturbations with Noise Derived from Natural Filters》
2、特定網絡的攻擊,又可分為白盒攻擊和黑盒攻擊
(1)白盒攻擊需要知道要攻擊的網絡的全部信息,如網絡架構、參數等;白盒攻擊又可分為基於梯度的方法和基於牛頓法等尋優算法的方法。如經典的FGSM,B-LFGS,Deep-Fool等
(2)黑盒攻擊可以大致分為兩類:基於訪問網絡輸出的方法和基於攻擊替代模型的方法;
基於訪問的方法又可分為兩種,第一種是只知道網絡的輸出標簽(比如網絡輸出是不是cat等),如ZOO等好多方法,第二種是可以知道網絡輸出的類概率向量的,如One-Pixel等好多方法。
基於攻擊替代模型的方法:比如我們要攻擊分類網絡A,可以先用分類網絡的訓練數據集自己訓練一個本地網絡B,將能夠成功攻擊B的對抗樣本用來攻擊網絡A
那么巧了,本次要講的這篇文章屬於攻擊替代模型的,但是我們一般說的攻擊替代模型的方法都是需要知道數據集的,也就是需要拿相同的train數據集或者相近的數據集去訓練替代網絡,然后將成功攻擊替代網絡的對抗樣本去攻擊遠程的網絡。然而,本文作者竟然誇張到不需要任何數據!有圖為證:
然而,馬上就出現了轉彎:
對抗樣本X是需要從輸入空間采樣得到的,如何采樣?那么輸入空間哪來的,還不是要攻擊的網絡用的數據集,果然馬上在實驗細節上:
呵呵,我只想說 本文的作者你是在哄三歲小孩子嘛?而且全文對於噪聲z是怎么來的只字未提,如何采樣啊大哥?那么我想問一下了,這篇文章是怎么過審的,CVPR2020上面!
現在做對抗攻擊的論文就這么好過審嘛?評委都不懂這么個玩意兒?當然那個審論文的人就更不懂了!