对抗攻防新作之一:Synthesizing robust adversarial examples

在前人工作基础上,Athalye等将物理环境下的对抗样本进行了更加深入的研究(Athalye and Sutskever, 2017),探讨了2D、3D和物理世界3D这三种环境下的对抗样本的生成和有效性问题,该工作也是首次构建了能在各个视角下欺骗神经网络的现实世界3D物体。该工作提出一种通用的对抗样本生成方法,该方法生成的对抗样本在任何给定的分布下都表现出很强的鲁棒性。Athalye提出了变换期望算法(Expectation OverTransformation, EOT)这一框架,该框架用来产生在各种给定变换下都能保持对抗性的对抗样本。在标准的有目标白盒攻击情况下,对抗样本是通过最大化目标类别的似然得到的。

上述方法得到的对抗样本不能免疫各种视觉变换。因此在上述方法的基础上,EOT引入变换分布 T,对于任意变换函数 t ,分类器的输入由原始对抗样本 x’ 变为 t(x’)。实践中, 可以表示如旋转,平移,加噪音等各种变换。一旦EOT被参数化,即确定了分布T。EOT框架可以优化分布 T 下的样本得到对抗样本。

在实验环节,作者为不同的实验环境使用不同的变换分布。在2D环境下,作者使用的变换分布包括缩放、旋转、光照、高斯噪音等变换,变换的期望是通过从这些变换分布中随机采样1000个变换计算得到。图16.15是2D对抗样本示例。在3D环境下,作者通过3D渲染建模来模拟变换,考虑了相机距离、横向平移、物体旋转、纯色背景,随机采样了100个变换来表示分布,图16.16是3D对抗样本示例。在3D物理环境下,作者使用3D模型打印制造对抗样本模型,考虑了各种角度、背景下的对抗样本分类,图16.17是物理环境3D对抗样本的示例。

2D对抗样本示例
3D对抗样本示例
物理环境下的3D对抗样本示例

引用:

Athalye, Anish, and Ilya Sutskever. “Synthesizing robust adversarial examples.” arXiv preprint arXiv:1707.07397(2017).