One Pixel Attack for Fooling Deep Neural Networks

目录

• 概
• 主要内容
  • 问题描述
  • Differential Evolution (DE)
  • 实验

Su J, Vargas D V, Sakurai K, et al. One Pixel Attack for Fooling Deep Neural Networks[J]. IEEE Transactions on Evolutionary Computation, 2019, 23(5): 828-841.

@article{su2019one,

title={One Pixel Attack for Fooling Deep Neural Networks},

author={Su, Jiawei and Vargas, Danilo Vasconcellos and Sakurai, Kouichi},

journal={IEEE Transactions on Evolutionary Computation},

volume={23},

number={5},

pages={828--841},

year={2019}}

概

一般的adversarial attack 是针对所有像素, 但是这种情况下,



从人的角度来看, 是容易发现差别的(虽然不改变这依旧是船的本质). 所以本文研究了一种更为极端的情况, 只在少数几个像素点(甚至是one pixel)下进行扰动, 实验证明成功率也是可以的(且利用了Differential Evolution). 下图是one pixel attack 的一个例子:

主要内容

问题描述

一般的adversarial attack 期望最大化

\[\begin{array}{rc}
\max_{e(x)} & f_{adv}(x+e(x)) \\
\mathrm{s.t.} & \|e(x)\| \le L,
\end{array}
\]

其中\(e(x)\)为扰动.

本文的问题, 可以理解为一个特例

\[ \begin{array}{rc}
\max_{e(x)} & f_{adv}(x+e(x)) \\
\mathrm{s.t.} & \|e(x)\|_0 \le d,
\end{array}
\]

特别的, one pixel 下\(d=1\) .

实际上，这是一种trade-off, 如果我们不限制像素个数, 则需要限制其扰动大小, 若不限制扰动大小, 这需要限制其像素个数, 只有这样, 扰动后的图像在人眼中其本质不变.

Differential Evolution (DE)

这个算法整理于此here.

首先, 初始化\(P_G=\{\Theta_1,\ldots, \Theta_{NP}\}\)(文中给定\(NP=400\)),

\[\Theta=(x,y,r,g,b),
\]

\((x,y)\)表示图片像素点的位置, \((r,g,b)\)表示图片的RGB属性, 于是(mutation step)

\[\Theta_{i, G+1} = \Theta_{r_1^i,G} + F \cdot (\Theta_{r_2^i,G}- \Theta_{r_3^i,G}),
\]

文中给定\(F=0.5\), 且舍弃了crossover step.

注1: \(x, y\)是利用均匀分布初始化的, \(r,g,b\)使用高斯分布初始化的.

注2:既然\(x,y,r,g,b\)都是由一些特殊范围和限制的, 个人认为生成后的\(\Theta_{i,G+1}\)是需要一定的调整使得落入可行域内的.

实验

主要在CIFAR-10, 和 ImageNet 上做了实验, 有一些指标, 还做了和随机one pixel attack进行比较, 没有特别好讲的.