[论文解读] Low Frequency Adversarial Perturbation
本文提出将对抗扰动限制在低频子空间(LF-DCT)以显著降低黑箱查询成本并保持攻击效果,同时在ImageNet上使用边界攻击和NES攻击取得了强结果,绕过了部分防御。
Adversarial images aim to change a target model's decision by minimally perturbing a target image. In the black-box setting, the absence of gradient information often renders this search problem costly in terms of query complexity. In this paper we propose to restrict the search for adversarial images to a low frequency domain. This approach is readily compatible with many existing black-box attack frameworks and consistently reduces their query cost by 2 to 4 times. Further, we can circumvent image transformation defenses even when both the model and the defense strategy are unknown. Finally, we demonstrate the efficacy of this technique by fooling the Google Cloud Vision platform with an unprecedented low number of model queries.
研究动机与目标
- 推动并形式化对抗扰动在低频域中丰富的概念。
- 提出一个低频子空间(LF-DCT)来约束攻击扰动。
- 证明 LF-DCT 可以提高黑箱攻击的查询效率(边界攻击和 NES)。
- 表明 LF-DCT 可以绕过图像变换防御并实现真实世界攻击场景(如 Google Cloud Vision)。
- 分析低频扰动在白盒和黑盒中的含义,并讨论其对其他领域的推广性。
提出的方法
- 在DCT频域中表示图像,并通过左上角的 rd×rd 系数来定义 LF-DCT 采样。
- 通过截断的DCT系数矩阵的IDCT(IDCT_r)对低频噪声进行采样。
- 将梯度投影到 LF-DCT 空间以进行低频梯度攻击。
- 将现有黑箱攻击(边界攻击和 NES)修改为使用 LF-DCT 扰动(LF-BA 和 LF-NES)。
- 使用 Hyperband 自适应地为每张图像选择频率比 r。
- 证明对图像变换防御(JPEG、比特深度)具有鲁棒性并对 Google Cloud Vision 发起攻击。
实验结果
研究问题
- RQ1将扰动限制在低频子空间是否可以提高黑箱对抗攻击的效率?
- RQ2对于不同的图像,最优的低频子空间大小(r)是多少,且自适应选择是否能比固定选择表现更好?
- RQ3LF-DCT 扰动能否绕过常见的图像变换防御并在真实世界平台(如 Google Cloud Vision)上取得成功?
- RQ4LF-DCT 如何影响白盒攻击优化以及对有防御模型的可迁移性?
主要发现
- LF-DCT 将在 ImageNet(ResNet-50)上的常见黑盒攻击的查询成本降低了 2–4 倍。
- 将维数降至全空间的 1/64(r 约为 1/8)在许多情况下产生接近最优的对抗扰动。
- LF-BA 与 LF-NES 的表现优于它们的 RGB 对应物,在中位查询次数上实现了显著降低(LF-BA 约 1128 vs RGB-BA 约 4020;LF-NES 约 12,444 vs RGB-NES 约 22,389)。
- 低频扰动可以绕过 JPEG 压缩和比特深度降级的防御,而高频扰动则难以对抗这些防御。
- LF-BA 能以极少量查询(约 1000 次)成功攻击 Google Cloud Vision,优于 RGB-BA。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。