1. 提交的部分對抗樣本
原始圖像:
生成對抗樣本:
(Targeted;eps:34)
(NonTargeted;eps:64)
2. 解題思路
本次比賽是黑盒攻擊問題,我們自然選擇當前最強的防禦方案作爲我們的攻擊對象。我們的攻擊方案中選取了來自於論文《Feature Denoising for Improving Adversarial Robustness》中的兩個模型進行聯合,這兩個模型是論文中的Resnet152Denoised模型和ResneXt101Denoised模型。此外,我們復現了論文《Barrage of Random Transforms for Adversarially Robust Defense》,區別是我們用的訓練集僅僅是比賽的圖片而不是整個ImageNet,用一個小型的防禦模型作爲第三個模型進行聯合。實驗證明這個小型模型對於來自普通模型和Resnet152Denoised、ResneXt101Denoised的對抗噪聲具有很強的魯棒性,由這些模型生成的對抗樣本都很難遷移到這個小模型上。白盒攻擊方面,我們對這個小模型進行200代定向攻擊迭代,攻擊成功率只有16%左右。這個魯棒的小模型成爲我們的第三個攻擊對象。
3. 攻擊算法
我們要攻擊的模型對非定向比較脆弱,但是對定向攻擊的防禦性能很強。我們使用I-FGSM作爲基礎,對於非定向攻擊,我們進行50次迭代,對於定向攻擊,我們進行1000次迭代。
迭代算法中我們使用了6個小策略:
1.Input Diversity
來自論文《Improving Transferability of Adversarial Examples With Input Diversity》。算法的基本思路是在每次迭代時對圖片進行一些小變換。我們在原文變換基礎上加多了幾種變換(如旋轉,翻轉)。
2.Momentum
來自論文《Boosting Adversarial Attacks With Momentum》。算法的基本思路是將動量梯度下降的優化方法引入到生成對抗樣本的迭代中。
3.對噪聲進行高斯模糊
來自論文《Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks》。對這幾個魯棒模型進行定向攻擊的難度非常大。分析原因,是因爲其中兩個採取了去噪方法,另一個採取了巨量隨機變換堆疊的方法,都產生了類似(但不是)梯度掩碼的現象,導致在對他們進行梯度型攻擊時,梯度包含的信息很少,也就是噪聲很乾淨。爲了克服這一點,我們使用了一些策略來挖掘更多的噪聲。
4.可變步長搜索
在迭代時,計算當前像素點與L無窮範數限制的邊界之差,若差越小,則迭代步長越大。實驗證明這對增強遷移性和白盒攻擊都有效。
5.目標類圖像融合
在迭代之前按一定比例融合屬於目標類的圖片。專門爲了增強定向攻擊使用。實驗證明這對增強遷移性有效。
6.放寬搜索區域
對於定向攻擊,我們使用34的eps作爲最大擾動限制,對於非定向攻擊,我們使用64的eps作爲最大擾動限制。實驗證明這對白盒攻擊有效。
實際攻擊時,我們選取了部分非定向圖片和部分定向圖片合併提交。定向圖片的選取標準是至少對2個模型定向攻擊成功。
4. 代碼分享
-
模型:
本次比賽中主要使用的模型是Facebook所提供的三個Tensorflow框架下的模型以及一個復現論文的模型,四個模型下載鏈接如下: -
代碼:
-
可能會出現的小問題:
- 因爲Facebook提供的原模型聯合起來有命名問題,因此我們團隊進行重新壓縮整理後,即可以正常聯合模型攻擊了。
- 解決方案:下載完畢後,使用壓縮軟件打開,然後解壓縮
新建一個R152文件夾,將R152.npz解壓出的所有文件放入這個文件夾中,重新壓縮爲zip文件,重命名爲R152_rename.npz,但是我們的最終方案中不利用此模型。
新建一個R152_Denoise文件夾,將R152-Denoise.npz解壓出的所有文件放入這個文件夾中,重新壓縮爲zip文件,重命名爲R152-Denoise_rename.npz
新建一個X101_Denoise文件夾,將X101-DenoiseAll解壓出的所有文件放入這個文件夾中,重新壓縮爲zip文件,重命名爲X101-DenoiseAll_rename.npz
在代碼中加載以上npz文件,搜索並修改default=’'中單引號內的內容即可。
5. 團隊簡介
Double*團隊
6. 參考引用
-
Cihang Xie, Yuxin Wu, Laurens van der Maaten, Alan L. Yuille, Kaiming He; “Feature Denoising for Improving Adversarial Robustness”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 501-509
-
Edward Raff, Jared Sylvester, Steven Forsyth, Mark McLean; “Barrage of Random Transforms for Adversarially Robust Defense”,The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 2730-2739
-
Cihang Xie, Zhishuai Zhang, Yuyin Zhou, Song Bai, Jianyu Wang, Zhou Ren, Alan L. Yuille; “Improving Transferability of Adversarial Examples With Input Diversity”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 6528-6537
-
Yinpeng Dong, Fangzhou Liao, Tianyu Pang, Hang Su, Jun Zhu, Xiaolin Hu, Jianguo Li; “Boosting Adversarial Attacks With Momentum”;The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2018, pp. 9185-9193
-
Yinpeng Dong, Tianyu Pang, Hang Su, Jun Zhu; “Evading Defenses to Transferable Adversarial Examples by Translation-Invariant Attacks”.
