差分演化
具体而言,在每次迭代期间,根据当前人口(父母)生成另一组候选解决方案(子项)。 然后将孩子与相应的父母进行比较,如果他们比父母更适合(拥有更高的健身价值),则存活下来。 以这种方式,仅比较父母和他的孩子,就可以同时实现保持多样性和提高健身价值的目标。
优点
DE不使用梯度信息进行优化,因此不需要目标函数是可微的或先前已知的。 因此,与基于梯度的方法(例如,不可微,动态,噪声等)相比,它可以用于更广泛的优化问题。 使用DE生成对抗性图像具有以下主要优点:
寻找全局最优值的可能性更高:
DE是一种元启发式算法,与梯度下降或贪婪搜索算法相比,它相对较少地受到局部最小值的限制(这部分是由于多样性保持机制和一组候选解的使用)。 此外,本文中考虑的问题具有严格的约束条件(只能修改一个像素),这使其相对困难。
要求目标系统提供较少的信息
DE不需要像传统的优化方法(如梯度下降法和拟牛顿法)所要求的那样使优化问题具有可微性。 这在生成对抗性图像的情况下至关重要,因为1)存在不可区分的网络,例如[26]。 2)计算梯度需要更多有关目标系统的信息,这在许多情况下几乎是不现实的。
简单性
此处提出的方法与所使用的分类器无关。 对于发生的攻击,知道概率标签就足够了。
方法和设置
我们将扰动编码为一个数组(候选解),该数组通过差分演化进行了优化(演化)。 一个候选解包含固定数量的扰动,并且每个扰动都是一个元组,该元组包含五个元素:x-y坐标和该扰动的RGB值。 一个扰动会修改一个像素。 候选解(人口)的初始数量为400,并且在每次迭代中,将使用通常的DE公式生成另外400个候选解(子项):
其中xi是候选解集元素;r1 r2; r3是随机数,F是设置为0.5的比例参数,g是当前一代的索引。
每个候选解决方案将根据索引与其相应的父代竞争,获胜者将生存下来进行下一次迭代。
最大迭代次数设置为100,并且在对Kaggle CIFAR-10
- 进行有针对性的攻击时,如果目标类别的概率标签超过50%
- 或者真实类别的标签概率低于5%,则将触发提前停止条件对ImageNet的非针对性攻击。
然后将真实类别的标签与最高的非真实类别进行比较,以评估攻击是否成功。
通过使用CIFAR-10图像的均匀分布U(1; 32)和ImageNet图像的均匀分布U(1; 227)初始化初始种群,以生成XY坐标和RGB的正态分布 $\mathrm{N}(\mu=128, \sigma=127)$ 数值。
对于CIFAR-10,适应度函数只是目标类别的概率标签,对于ImageNet,适应度函数只是真实类别的概率标签。交叉不包括在我们的方案中。
衡量指标
成功率
- 在非目标攻击的情况下,它是指被目标系统成功分类为任意目标类别的对抗图像的百分比。
- 在针对性攻击的情况下,它定义为将自然图像干扰到特定目标类别的概率。
对抗性概率标签(置信度)
累积每次成功扰动后目标类别的概率标签的值,然后除以成功扰动的总数。 该度量表示错误分类对抗性图像时目标系统给出的平均置信度。
目标类别数
计算成功扰动到特定数目(即从0到9)的目标类别的自然图像的数目。 特别是,通过计算不能被其他类别干扰的图像数量,可以评估非目标攻击的有效性。
原始目标类对的数量
计算每个原始目标类对成功攻击的次数。
实验
Kaggle CIFAR-10
ImageNet