[论文解读] Defending against Adversarial Images using Basis Functions Transformations
本文评估了基于基函数操作的多种测试时防御方法(JPEG、DCT/小波类方法、PCA、软阈值处理)对抗黑、灰、白盒对手攻击,并引入一种新颖的白盒攻击,称为过滤梯度攻击。
We study the effectiveness of various approaches that defend against adversarial attacks on deep networks via manipulations based on basis function representations of images. Specifically, we experiment with low-pass filtering, PCA, JPEG compression, low resolution wavelet approximation, and soft-thresholding. We evaluate these defense techniques using three types of popular attacks in black, gray and white-box settings. Our results show JPEG compression tends to outperform the other tested defenses in most of the settings considered, in addition to soft-thresholding, which performs well in specific cases, and yields a more mild decrease in accuracy on benign examples. In addition, we also mathematically derive a novel white-box attack in which the adversarial perturbation is composed only of terms corresponding a to pre-determined subset of the basis functions, of which a "low frequency attack" is a special case.
研究动机与目标
- 在基函数空间中操作以缓解对抗性扰动的防御策略的动机与评估。
- 比较在黑盒、灰盒和白盒威胁模型下多种预处理防御的性能。
- 确定在对抗扰动降低的同时对无害图像保持准确性的防御。
- 提供一种新的白盒攻击(Filtered Gradient Attack,FGA)仅针对一部分基函数。
提出的方法
- 将每种防御作为测试时预处理步骤应用于无害图像和对抗性图像。
- 在FGSM、I-FGSM和C&W攻击下评估防御。
- 使用低通傅里叶过滤、PCA(图像层面和块级)、小波近似、软阈值处理和JPEG压缩。
- 提出并形式化Filtered Gradient Attack(FGA),并在白盒设置中讨论Backward Pass Differentiable Approximation(BPDA)。
实验结果
研究问题
- RQ1哪些基函数基础的预处理防御在黑盒、灰盒和白盒设置下最有效地缓解对抗性扰动?
- RQ2这些防御在对抗性样本鲁棒性与对无害图像的准确性之间如何权衡?
- RQ3对仅限于预定基函数子集的扰动的新型白盒攻击有何影响?
- RQ4在威胁模型下,JPEG压缩是否持续优于其他基于基的防御?
主要发现
- JPEG压缩通常在黑盒和灰盒设置以及所考察的两种白盒方案中优于其他防御。
- 软阈值处理在某些情况下提供强有力的防御,并且对无害图像的准确率损失较小。
- 基于小波的方法(一级近似和软阈值)对无害准确率的惩罚小于某些替代方法。
- 其他方法如低通滤波和基于PCA的去噪对对抗攻击显示出较弱或混合的效果。
- 一种新颖的白盒攻击,过滤梯度攻击,仅针对保留的基函数进行攻击,使攻击与低频或其他选择子集对齐。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。