当前位置：首页 > news >正文

Frequency Domain Model Augmentation for Adversarial Attack

news 2026/2/10 18:02:08

原文：[2207.05382] Frequency Domain Model Augmentation for Adversarial Attack (arxiv.org)

代码：https://github.com/yuyang-long/SSA.

黑盒攻击替代模型与受攻击模型之间的差距通常较大，表现为攻击性能脆弱。基于同时攻击不同模型可以提高对抗样本的迁移性观察，提出了利用变换后的图像模拟不同模型的模型增强方法。然而，现有的空间域转换并不能转化为显著多样化的增强模型。为了解决这个问题，我们提出了一种新的频谱模拟攻击，以针对正常训练和防御模型制作更多的可转移的对抗样本，具体地说，我们对输入应用频谱变换，从而在频域执行模型增强。我们从理论上证明了从频域导出的变换会导致一个多样化的频谱显著图，这是我们提出的一个反映替代模型多样性的指标。值得注意的是，我们的方法通常可以与现有的攻击相结合。

文章主要贡献：

1)我们发现，从空间域变换得到的增强模型没有显著的多样性，这可能限制了对抗性示例的可移植性。

2)为了克服这一局限性，我们引入了频谱显著图(基于频域视角)来研究模型之间的差异。受到我们发现的启发，我们提出了一种新的频谱模拟攻击，以有效地缩小替代模型和受害者模型之间的差距。

3)在ImageNet数据集上的大量实验突出了我们提出的方法的有效性。值得注意的是，与最先进的基于转移的攻击相比，我们的方法将正常训练模型的攻击成功率提高了6.3% ~ 12.2%，将防御模型的攻击成功率提高了5.6% ~ 23.1%。

Preliminaries

对抗样本的生成可以表示为以下优化问题：

由于 $\text{[math]}$ 参数不达，故直接优化等式（1）是不现实的，为了克服这一限制，一种常见的做法是通过可访问的替代模型 $\text{[math]}$ 制作对抗样本，并依赖可转移性来欺骗受攻击的模型，如I-FGSM，迭代t+1次时的对抗样本可以表示为：

Spectrum Saliency Map

从频域角度引入频谱显著性图，因为图像在频域的表示有一个固定的模式。而且不同迭饿模型在做决策时通常依赖于每个输入图像的不同频率成分。

文章从频域角度探讨了模型之间的相关性，采用DCT将输入图像x从空间域变换到频域。DCT的数学定义可以简化为：

A是一个正交矩阵。从形式来看，振幅较高的低频分量往往集中在频谱的左上角，高频分量位于剩余的区域，本文提出了一个频谱显著图 $\text{[math]}$ 来挖掘不同模型 $\text{[math]}$ 的敏感点,其定义为：

$\text{[math]}$ 表示IDCT，它可以将输入图像从频域恢复到空域。DCT和IDCT都是无损的，

无损：报损变换就是图像进行变换了之后，损失函数没有太大变换

根据之前的可视化，作者观察到，感兴趣的频率成分通常因模型而异。因此，频谱显著性图可以作为一个指标来反映一个特定的模型。

Spectrum Transformation

上述分析激励我们，如果我们可以用与被攻击模型相似的频谱显著图来模拟增强模型，则替代模型和被攻击者模型之间的差距可以显著缩小，对抗样本可以更好地转移。

引理1：

定理1表明，有可能以矩阵变换的形式使两个矩阵（注意频谱显著性图的本质也是一个矩阵）相等。然而，被攻击模型的频谱显著性图在黑箱设置下通常无法获得。此外，替代模型的频谱显著性图是高维的，不保证是可逆的。

为了解决这一问题，我们提出了一种随机谱变换T(·)，将矩阵乘法分解为矩阵加法和阿达玛乘积，得到不同的谱。具体来说，结合DCT/IDCT，我们的T(·)可以表示为:

从形式上看， T(⋅) 能够产生多样化的频谱显著性图，能够反映替代模型的多样性，同时，缩小与受害者模型的差距。如上图所示，以前提出的空域的变换（即b和c）对产生多样化的频谱显著性地图不太有效，这可能导致较弱的模型增强。相比之下，通过本文提出的频谱变换，产生的频谱显著性图（即a）几乎可以覆盖其他模型的所有图。

Spectrum Simulation Attack

本文提出的攻击方法称为 $\text{[math]}$ （频谱模拟迭代快速梯度符号方法）

算法大概分为三个步骤：

step1（3-6）：将频谱变换 T(⋅) 应用于输入图像 $\text{[math]}$ ，使从替代模型得到的梯度 $\text{[math]}$ 与从新模型得到的结果大致相等，即模型增强；

step2（7）:对N 个增强的模型的梯度进行平均，以获得一个更稳定的更新方向 g′；

step3（8）：更新 $\text{[math]}$

Frequency Domain Model Augmentation for Adversarial Attack

Preliminaries

Spectrum Saliency Map

Spectrum Transformation

Spectrum Simulation Attack

相关文章：

Frequency Domain Model Augmentation for Adversarial Attack

react源码中的协调与调度

如何快速、全面、深入地掌握一门编程语言

python五子棋代码最简单的,python五子棋代码画棋盘

C++ 智能指针的原理：auto_ptr、unique_ptr、shared_ptr、weak_ptr

二叉树前中后层次遍历，递归实现

【RA4M2系列开发板GPIO体验2按键控制LED】

初步介绍CUDA中的统一内存

UVM实战--加法器

Linux系统点亮LED

在superset中快速制作报表或仪表盘

【可视化实战】Python 绘制出来的数据大屏真的太惊艳了

Obsidium一键编码作业,Obsidia惊人属性

约束优化：约束优化的三种序列无约束优化方法

RocketMQ快速入门：消息发送、延迟消息、消费重试

FANUC机器人通过KAREL程序实现与PLC位置坐标通信的具体方法示例

[蓝桥杯 2015 省 B] 移动距离

Pandas库入门仅需10分钟

python的socket通信中，如何设置可以让两台主机通过外网访问？

检测数据的方法(回顾)

【SQL学习笔记1】增删改查+多表连接全解析（内附SQL免费在线练习工具）

Keil 中设置 STM32 Flash 和 RAM 地址详解

微服务商城-商品微服务

今日学习：Spring线程池|并发修改异常|链路丢失|登录续期|VIP过期策略|数值类缓存

关键领域软件测试的突围之路：如何破解安全与效率的平衡难题

Java线上CPU飙高问题排查全指南

C#中的CLR属性、依赖属性与附加属性

【学习笔记】erase 删除顺序迭代器后迭代器失效的解决方案

恶补电源：1.电桥

解析两阶段提交与三阶段提交的核心差异及MySQL实现方案