admin管理员组

文章数量:1130349

Patch

Patch-wise Attack for Fooling DNN (ECCV2020)

  1. 现象
  2. 算法
  3. 实验

1.现象

如左图,DenseNet和Inception模型中的attention map,这些区域通常包含的是聚类的像素,而非分开的像素,所以作者认为具有聚集特性的噪声更有可能造成攻击。
如右图,我们知道FGSM比I-FGSM算法更具有迁移性, 在patch-map可视化中发现,FGSM产生的噪声更具有一定的聚集特性.

单步算法比迭代算法更有可迁移性,所以迭代算法设置大步长可以增强迁移性。

2.clip函数

几乎所有的基于梯度的迭代方法都使用了投影梯度下降来确保方框内的扰动,但是如果直接使用clip函数会浪费掉一些梯度信息。

3.算法
作者观察到patch-wise比pixel-wise有更好的迁移性,同时现有的基于梯度的攻击方法的元素剪切操作会丢弃部分梯度信息,作者提出了算法可以解决上述问题。
作者决定将多余的噪声投影到周围的区域,这样既结果了clip的问题 也会加强聚合程度。

图一
图2


黄框就是图二的过程,将多余的噪声设为C,后将C经过均匀投影核Wp与原图相加 即得最终矩阵。

4.实验

与现有攻击方法比较,对防御模型的成功率平均提高了9.2%,对常规模型成功率提高了3.7%。

PS:投影梯度下降:投影梯度是求解带有简单约束的连续优化算法,


Clip函数

Patch

Patch-wise Attack for Fooling DNN (ECCV2020)

  1. 现象
  2. 算法
  3. 实验

1.现象

如左图,DenseNet和Inception模型中的attention map,这些区域通常包含的是聚类的像素,而非分开的像素,所以作者认为具有聚集特性的噪声更有可能造成攻击。
如右图,我们知道FGSM比I-FGSM算法更具有迁移性, 在patch-map可视化中发现,FGSM产生的噪声更具有一定的聚集特性.

单步算法比迭代算法更有可迁移性,所以迭代算法设置大步长可以增强迁移性。

2.clip函数

几乎所有的基于梯度的迭代方法都使用了投影梯度下降来确保方框内的扰动,但是如果直接使用clip函数会浪费掉一些梯度信息。

3.算法
作者观察到patch-wise比pixel-wise有更好的迁移性,同时现有的基于梯度的攻击方法的元素剪切操作会丢弃部分梯度信息,作者提出了算法可以解决上述问题。
作者决定将多余的噪声投影到周围的区域,这样既结果了clip的问题 也会加强聚合程度。

图一
图2


黄框就是图二的过程,将多余的噪声设为C,后将C经过均匀投影核Wp与原图相加 即得最终矩阵。

4.实验

与现有攻击方法比较,对防御模型的成功率平均提高了9.2%,对常规模型成功率提高了3.7%。

PS:投影梯度下降:投影梯度是求解带有简单约束的连续优化算法,


Clip函数

本文标签: Patch

版权声明:本文标题:Patch 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://it.en369.cn/jiaocheng/1698308703a289159.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。