李茂森:西安电子科技大学电子工程学院2018级博士生,导师邓成教授,研究兴趣为对抗样本与防御,以第一作者在CVPR发表论文,受邀担任国际知名会议KDD2020 PC Member,期刊Neurocomputing审稿人,曾获IJCAI-2019 AAAC Competition 目标赛道特别奖。
报告题目:目标对抗样本的迁移性
报告摘要:如何有效的生成可迁移的有目标对抗样本目前正需要深入研究。本次报告将重点分享我们在CVPR2020的工作。本文中,我们不再将有目标攻击视为无目标攻击的简单扩展,针对目标攻击的特点,提出了一种新的度量方法,即利用庞加莱度量和三元组损失生成对抗样本。
Spotlight:
我们针对有目标攻击的特性,提出了新的度量方法,并在此基础上,在目标攻击中挖掘新的有用信息,构建三元组失项,提高目标攻击迁移性。
我们的模型简单有效,取得了目前的SOTA效果,并且在有目标对抗样本迁移性中取得了平均8%的显著提升。
1. EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES
推荐理由:本文提出了FGSM,一种高效的baseline方法,同时给出了一个对抗样本迁移性的解释。
2. Deep Neural Networks are Easily FooledHigh Confidence Predictions for Unrecognizable Images
推荐理由:本文结果阐明了人类视觉和当前DNN模型感知之间的有趣差异,并提出了基于DNN计算机视觉的普遍性问题。
3. Boosting Adversarial Attacks with Momentum
推荐理由:本文提出一种简单高效的多步攻击方法,解决了多步攻击移植性较差的问题,达到了当时的SOTA性能,至今仍广泛作为baseline方法。
4. TRANSFERABLE PERTURBATIONS OF DEEP FEATURE DISTRIBUTIONS
推荐理由:本文提出了一种基于类和层深度特征分布建模和开发的新型对抗性攻击方法,实现了SOTA的针对无防护的ImageNet模型的基于迁移的目标攻击结果。
5. Understanding Adversarial Examples from the Mutual Influence of Images and Perturbations
推荐理由:本文的结果验证了通用扰动的特征属性,通用扰动包含了主要的特征,而原图像对DNNs来说就像噪音一样。根据这一观点,作者使用随机源图像以产生目标通用扰动。
6. Dual-Path Distillation A Unified Framework to Improve Black-Box Attacks
推荐理由:本文为黑盒攻击提出了一种新的框架,再生成对抗样本的同时,利用反馈信息,改变搜索方向,以实现有效的攻击。