?PaperWeekly 原創 ·?作者?|?孫裕道

學校?|?北京郵電大學博士生

研究方向?|?GAN圖像生成、情緒對抗樣本生成

引言

對抗樣本中通常應用的 范數不能捕捉圖像分類中對抗樣本的感知質量，在該論文中作者用結構相似性指數 SSIM 度量來代替這些范數， 其實是經常被用于實驗中衡量對抗樣本與干凈樣本相似度，本文作者推陳出新將其融入到對抗攻擊的目標函數里。實驗可以發現由 SSIM 約束的對抗攻擊可以對經對抗訓練的分類器進行高準確率的攻擊，同時始終提供更好感知質量的對抗圖像。

論文標題：

Perceptually Constrained?Adversarial?Attacks

論文鏈接：

https://arxiv.org/abs/2102.07140

算法介紹

給定一個分類器 ，輸入樣本 和標簽集合 ，其中分類器 預測真實樣本 的標簽為 。對抗擾動 會使得目標分類器分類出錯即 。當對抗擾動攻擊成功的時候，則有：

反之攻擊失敗的時候，則有：

作者選取 攻擊的損失函數：

其中 表示松弛條件， 表示平衡因子。無約束問題 的解即為對抗樣本。為了能夠讓對抗樣本 更加接近真實樣本 ，采用相似性度量去約束 和 之間的距離，則有：

其中 。由拉格朗日公式可知：

考慮到相似度度量函數 ，優先想到的是結構相似指標度量方法 ，給定灰度圖像 ：

表示的是圖像之間的亮度對比函數：

其中 和 表示的是 和 的平均像素值。 表示的是圖片之間的對比度對比函數：

其中 和 表示的是 和 的像素值的標準差。 表示的是圖像之間的結構對比函數：

其中 表示 和 之間的像素協方差。在彩色 圖像中，先計算每個通道的 ，然后計算不同顏色通道的平均 值。令 和 則有：

將上公式化簡可得：

作者將 引入到 優化問題中進而生成對抗樣本。當需要注意的一點是 具有非凸性，所以導致這個優化問題比較難處理。作者采取的辦法是將目標函數分成兩項 和 。這樣處理的一個好處是 和 在它們的水平集中是凸的。考慮歸一化均方誤差（）函數：

其中 ，，且此函數是一個在集合 上是一個準凸函數，此時則有：

其中 和 分別在 和 是準凸的。為了簡化最小化過程，作者考慮 的 和 的 ，而不是約束 。確保 和 的下限，并且使得對抗樣本的圖像落入 中，有如下約束：

為了在上述約束條件下最小化 ，作者建立了如下的拉格朗日方程：

這是一個松弛版本的目標函數，求解可得對抗擾動為：

如下圖所示為具體的算法流程圖：

實驗結果

3.1 對MNIST的攻擊

對于 MNIST 數據集（實驗中作者將像素強度縮放到區間 ），作者比較了攻擊方法與對抗訓練網絡的性能。如下圖所示為不同對抗攻擊的性能，分別比較了攻擊成功率、平均 值和 范數值。

攻擊的測試參數與對抗訓練中用于生成對抗圖像的參數相同。可以看出，對抗訓練確實有所幫助，對測試數據的攻擊僅在 的圖像中成功。其他三次攻擊，、 和 都取得了 的成功率。

下圖分別顯示了 ，，以及由相同圖像的其他方法產生的對抗樣本可視化的圖像。每個圖像都顯示了 值和感知標簽，紅色幀表示攻擊是否成功，即結果圖像是否分類錯誤。對于相同的圖像，與 和 攻擊相比， 產生的圖像具有更好的感知質量，而 攻擊在一些圖像上的攻擊是不成功的。

3.2 對CIFAR-10的攻擊

下表顯示的是在不同擾動極限下對抗擾動測試集的分類精度，可以發現當對抗擾動大小增加超過 時， 防御和 防御都會崩潰。

下圖為攻擊過程中獲得的精確度、平均失真和攻擊，可以看到，所有攻擊的平均 值都非常高。可以看出，對于特征防御（針對 攻擊的最強防御）， 攻擊導致大量對抗樣本的 低于 ，這占所有攻擊成功的對抗樣本的 。相比之下，對 攻擊來說，只有 的成功攻擊的對抗樣本的 指數低于 。

更多閱讀

#投 稿?通 道#

?讓你的文字被更多人看到?

如何才能讓更多的優質內容以更短路徑到達讀者群體，縮短讀者尋找優質內容的成本呢？答案就是：你不認識的人。

總有一些你不認識的人，知道你想知道的東西。PaperWeekly 或許可以成為一座橋梁，促使不同背景、不同方向的學者和學術靈感相互碰撞，迸發出更多的可能性。?

PaperWeekly 鼓勵高校實驗室或個人，在我們的平臺上分享各類優質內容，可以是最新論文解讀，也可以是學術熱點剖析、科研心得或競賽經驗講解等。我們的目的只有一個，讓知識真正流動起來。

?????稿件基本要求：

? 文章確系個人原創作品，未曾在公開渠道發表，如為其他平臺已發表或待發表的文章，請明確標注?

? 稿件建議以?markdown?格式撰寫，文中配圖以附件形式發送，要求圖片清晰，無版權問題

? PaperWeekly 尊重原作者署名權，并將為每篇被采納的原創首發稿件，提供業內具有競爭力稿酬，具體依據文章閱讀量和文章質量階梯制結算

?????投稿通道：

? 投稿郵箱：hr@paperweekly.site?

? 來稿請備注即時聯系方式（微信），以便我們在稿件選用的第一時間聯系作者

? 您也可以直接添加小編微信（pwbot02）快速投稿，備注：姓名-投稿

△長按添加PaperWeekly小編

????

現在，在「知乎」也能找到我們了

進入知乎首頁搜索「PaperWeekly」

點擊「關注」訂閱我們的專欄吧

關于PaperWeekly

PaperWeekly 是一個推薦、解讀、討論、報道人工智能前沿論文成果的學術平臺。如果你研究或從事 AI 領域，歡迎在公眾號后臺點擊「交流群」，小助手將把你帶入 PaperWeekly 的交流群里。

總結

以上是生活随笔為你收集整理的英国帝国理工出品：SSIM对抗攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。