《对抗攻击与防御分类方法综述》阅读笔记20220401

《对抗攻击与防御分类方法综述》

A Review of Adversarial Attack and Defense for Classification Methods

DOI:10.1080/00031305.2021.2006781

---

---

文章组织：

第2节简要介绍了dnn。

第3节介绍了攻击分类方法的最新发展。

第四节介绍了针对此类攻击的防御方法。

第5节给出了数值比较。

第6节给出了总结意见，包括统计研究的未来方向。

---

---

3 Attack

two kinds of attack goals:

        (1)targeted

        (2)untargeted

Based on the information needed, the attack methods can be grouped into three categories:
        (1) gradient-based

        (2) score-based :

                a.Gradient-approximation based methods

                b.do not approximate gradient related information

        (3) decisieon-basd

               a. Transfer based attacks：如果两个dnn用相似的数据训练，即使两个模型可能有非常不同的结构，一个模型产生的对抗例子可以用来欺骗另一个模型。

                b.Random-walk based attacks：边界攻击Boundary Attack,不依赖于输入的损失梯度。

                c.Optimization based attacks:

white box : All the information of the victim model, such as model structure, parameters and so on, is revealed to the attacker.

soft-label black box : Only the predicted scores are available. 

hard-label black box : Only the predicted labels are revealed. 

gray box settings : Where part of the model information is available.

---

---

4 Defense

(1)Adversarial Training（用对抗样本增强训练数据）

(2)Randomization（利用随机性防御对抗攻击）

(3)Projection（用投影消除对抗扰动）

(4)Detection（检测对抗样本而不是正确分类）

---

---

ps：

对抗攻击笔记03：l0，l2，l∞范数

对抗攻击笔记03：l0，l2，l∞范数_地表最菜研究生的博客-CSDN博客_l2攻击

Fast Gradient Sign Attack（FGSM）

快速梯度符号法：在白盒环境下，通过求出模型对输入数据的导数，用函数求得其梯度方向，再乘以步长，得到的就是其扰动量，将这个扰动量加在原来的输入上，就得到了在FGSM攻击下的样本，这个样本很大概率上可以使模型分类错误，这样就达到了攻击的目的。

 ??? 为什么裁剪加紧到[0,1] ???

# FGSM attack code
def fgsm_attack(image, epsilon, data_grad):
    # 使用sign（符号）函数，将对x求了偏导的梯度进行符号化
    sign_data_grad = data_grad.sign()
    # 通过epsilon生成对抗样本
    perturbed_image = image + epsilon*sign_data_grad
    # 做一个剪裁的工作，将torch.clamp内部大于1的数值变为1，小于0的数值等于0，防止image越界
    # ？？？？？？
    perturbed_image = torch.clamp(perturbed_image, 0, 1)
    # 返回对抗样本
    return perturbed_image

FGSM对抗样本算法实现_小二的安全指北的博客-CSDN博客_对抗样本的实现代码

对抗训练+FGSM, FGM理解与详解_狗狗狗大王的博客-CSDN博客_fgm对抗训练

Projected Gradient Descent Attack (PGD)

对抗样本生成的PGD和C&W方法_ckxkexing的博客-CSDN博客_pgd 对抗样本

Boundary Attack

基于决策的黑箱攻击——Boundary Attack_tyh70537的博客-CSDN博客_黑箱攻击

对抗攻击方法汇总

对抗攻击常见方法汇总_^码农翻身^的博客-CSDN博客_对抗攻击方法

2021 ICCV 对抗攻击论文总结 - 知乎

AAAI 2021 | 近期必读对抗训练精选论文_AMiner学术搜索和科技情报挖掘的博客-CSDN博客

CV||对抗攻击领域综述（adversarial attack） - 知乎

近期值得读的 9 篇「对抗样本」相关论文 - 知乎

计算机视觉中的对抗样本(Adversarial example) - 知乎

《繁凡的论文精读》（一）CVPR 2019 基于决策的高效人脸识别黑盒对抗攻击（清华朱军） - 知乎