深度神经网络中的对抗样本已经受到了广泛关注,迁移性对抗样本是其中的一个研究热点。随着技术进步,目前,无目标对抗样本迁移性已经取得了极大进展,然而,有目标对抗样本的迁移性仍然较差,且并未受到广泛关注。本期论坛我们邀请到了西安电子科技大学的李茂森同学,分享他在CVPR2020发表的工作,生成可迁移的有目标对抗样本。
李茂森:西安电子科技大学电子工程学院2018级博士生,导师邓成教授,研究兴趣为对抗样本与防御,以第一作者在CVPR发表论文,受邀担任国际知名会议KDD2020 PC Member,期刊Neurocomputing审稿人,曾获IJCAI-2019 AAAC Competition 目标赛道特别奖。
报告题目:目标对抗样本的迁移性
报告摘要:如何有效的生成可迁移的有目标对抗样本目前正需要深入研究。本次报告将重点分享我们在CVPR2020的工作。本文中,我们不再将有目标攻击视为无目标攻击的简单扩展,针对目标攻击的特点,提出了一种新的度量方法,即利用庞加莱度量和三元组损失生成对抗样本。
Spotlight:
1、我们针对有目标攻击的特性,提出了新的度量方法,并在此基础上,在目标攻击中挖掘新的有用信息,构建三元组失项,提高目标攻击迁移性。
2、我们的模型简单有效,取得了目前的SOTA效果,并且在有目标对抗样本迁移性中取得了平均8%的显著提升。
推荐理由:本文提出了FGSM,一种高效的baseline方法,同时给出了一个对抗样本迁移性的解释。
推荐理由:本文结果阐明了人类视觉和当前DNN模型感知之间的有趣差异,并提出了基于DNN计算机视觉的普遍性问题。
推荐理由:本文提出一种简单高效的多步攻击方法,解决了多步攻击移植性较差的问题,达到了当时的SOTA性能,至今仍广泛作为baseline方法。
推荐理由:本文提出了一种基于类和层深度特征分布建模和开发的新型对抗性攻击方法,实现了SOTA的针对无防护的ImageNet模型的基于迁移的目标攻击结果。
推荐理由:本文的结果验证了通用扰动的特征属性,通用扰动包含了主要的特征,而原图像对DNNs来说就像噪音一样。根据这一观点,作者使用随机源图像以产生目标通用扰动。
推荐理由:本文为黑盒攻击提出了一种新的框架,再生成对抗样本的同时,利用反馈信息,改变搜索方向,以实现有效的攻击。
录播视频 / 推荐论文下载 / 讲者PPT 登录后获取查看地址