2020CVPR对抗样本相关论文整理（无开源代码）

1、2020CVPR 对抗样本相关论整理（开源代码）录攻击1.作为有效的盒对抗攻击，基于决策的法通过查询标模型来消除对抗噪声。 其中，边界攻击由于其强的噪声压缩能被泛应，尤其是与基于传输的法结合使时。 边界攻击将噪声压缩分为个独的采样过程，并以恒定的采样设置重复每个查询。 本演了使当前噪声和历史查询来定制边界攻击中的差和采样平均值以消除对抗噪声的优势。 进步揭了边界攻击中初始噪声与压缩噪声之间的关系。 提出了定制对抗边界（CAB）攻击，该攻击使当前噪声来建模每个像素的灵敏度，并使定制采样设置来抛光每个图像的对抗噪声。 ，CAB使当前噪声作为定义多变量正态分布的先验信念。 另，CAB使新采样远离历史

2、失败的查询，以避免类似的错误。 在个图像分类数据集上测量的实验结果强调了我们法的有效性。研究了决策边界2.在这项作中，作者提出了种新颖的机制来缓解过度拟合的问题。 它计算模型对提取特征的关注程度，以规范对抗样本的搜索，从优先考虑可能被各种体系结构采的关键特征的损坏。 因此，它可以促进对抗样本的可传递性。 在ImageNet分类器上进的量实验证实了该策略的有效性及其在盒和盒设置中优于最新基准的优越性。3.对抗样本可提图像识别度之前的观念认为，对抗样本是ConvNets的威胁，并且对对抗样本的训练会导致净图像的准确性下降。本提出了相反的观点，使对抗样本能够提准确性。4.通过减少散以增强对抗样本的跨

3、任务箱可转移性作者研究了对抗样本在各种实际计算机视觉任务中的可转移性，包括图像分类、标检测、语义分割、显式内容检测和本检测。 所提出的攻击减少了中间特征图的离散度，通过最化特征图的离散度，图像变得“特征”，克服了现有攻击的局限性，这些局限性需要特定于任务的损失函数和/或探测标模型。 评估证明，该法通过以较的幅度幅降低多个CV任务的性能胜过现有的攻击。5.6.对抗伪装：利然风格掩盖物理世界的攻击利风格转移技术，实现物理世界中的攻击。本提出了在3D对抗环境中进盒攻击和盒攻击，是展等轴测度转换下当前3D深度学习模型的极端脆弱性的第项作。 ，此对抗性样本具有吸引的特性，例如强的可转移性。 另，该法为3

4、D对抗学习的未来研究指出了有希望的向。7.盒攻击模式下，当前的替攻击（Substitute Attacks）需要使预训练模型成对抗性样本，再通过样本迁移性攻击标模型。但是实际任务中，获得这样的预训练模型很困难。本提出种替模型训练法DaST，需任何真实数据即可获得对抗性盒攻击的替模型。DaST 利专门设计的成对抗络（GAN）训练替模型，并且针对成模型设计多分架构和标签控制损失，以处理 GAN 成数据分布不匀的问题。然后，使 GAN 成器成的样本训练分类器（即替模型），样本的标签为标模型的输出。实验表明，相较基准替模型，DaST 产的替模型可实现具有竞争的性能。此外，为评估所该法的实性，本在 Mi

5、crosoft Azure 平台上攻击了在线机器学习模型，在线模型错误地分类了本法成的 98.35 的对抗性样本。据知，这是个需任何真实数据即可成替模型并来产对抗攻击的作。8.本介绍了个联合的阶防御互动的实际可案。 在理论上和经验上都证明强加这些交互作可以显着提联合鲁棒性。作者提出了联合梯度相位和幅度正则化（GPMR）作为经验具来规范成员之间的相互作并均衡成员在集合决策中的作。9.GeoDA：盒对抗攻击的何框架该框架基于以下观察：深度络的决策边界通常在数据样本附近具有较的平均曲率。作者提出了种有效的迭代算法，以成对于，理论证明，当决策边界的曲率有界时，该算法实际上收敛到最 扰动。 实验结果证实

6、，该l2盒攻击算法最新算法性能更好，因为它产的扰动较，查询数量减少。10.机器看到的不是获得的东西：带有对抗性本图像的傻场景本识别模型本次尝试攻击基于DNN的最新STR模型。 具体，提出了种新颖且有效的基于优化的法，该法可以然地集成到不同的顺序预测案中。 将提出的法应于具有针对性和针对性攻击模式的五个最新STR模型，对7个真实数据集和2个综合数据集的综合结果致地显了这些STR模型的脆弱性，并且性能显着下降 。11.于LiDAR标检测的可物理实现的对抗样本现代动驾驶系统严重依赖于深度学习模型来处理感官数据。尽管对抗扰动对动驾驶构成了安全隐患，但由于多数对抗攻击仅应于2D平图像，因此在3D感知的探

7、索很少。本解决了这个问题，并提出了种法来成通的3D对抗对象，以欺骗LiDAR检测器。特别是，作者证明了在任何标车辆的顶部放置个敌对物体，讷能够使车辆完全对LiDAR探测器隐藏，成功率为80。作者还使数据增强技术进对抗性防御的初步研究。12.了然的视觉跟踪双重对抗攻击本提出了种新颖的单次对抗攻击法，以成于由模型单标跟踪的对抗样本，该法仅在初始帧中对标补丁进轻微扰动就会导致最新的跟踪器丢失后续帧中的标。13.本建议将DNN的logit作为特征表的向量，并利它们分析基于Pearson相关系数（PCC）的两个独输的相互影响。作者利这种向量表法，通过解开净的图像和对抗扰动来理解对抗样本，并分析它们之间的

8、相互影响。所得结果为图像和普遍扰动之间的关系给出了新的视：普遍扰动包含主要特征，图像对它们的为像噪声样。 这种观点导致了种使随机源图像成标通对抗样本的新法。作者称这是第个在不利原始训练数据的情况下完成有针对性的普遍攻击的任务。14.15.强的超像素引导注意的对抗攻击本研究了神经络针对向能量的攻击的鲁棒性。 具体来说，作者提出了针对常见类型的节能神经络，即适应神经络（AdNN）的ILFO（基于中间输出的损失函数优化）攻击。AdNN通过根据输的需求动态停其模型的部分来节省能耗。ILFO利中间输出作为代理来推断输与其相应能耗之间的关系。ILFO已显出AdNN减少了多达100的FLOP（每秒浮点操作）

9、，并且将最噪声添加到输图像中。 据了解，这是攻击AdNN能耗的次尝试。16.本介绍的dPhysGAN，以连续的式为动驾驶系统成了具有物理世界弹性的对抗样本，并通过泛的数字和现实评估来展PhysGAN的有效性和鲁棒性。防御1.通过对抗的混合表形式实现野外的鲁棒性对抗训练已被证明是防御对抗样本的有效法。 但是，它的应仅限于对定义的变换（如范数有界扰动）强制执不变性。 这样的扰动不定涵盖可能的真实世界变体，这些变体保留了输的语义（例如照明条件的变化）。 在本中，作者提出了种新颖的法来表达和形式化这些输的现实世界转换的鲁棒性。 我们公式化的两个关键思想是：1）利输的分散表来定义变化的不同因素；2）通过

10、对抗性地组合不同图像的表来成新的输图像。我们使StyleGAN模型来证明此框架的有效性。 具体来说，我们利由StyleGAN模型计算出的分开的潜在表来成与真实世界变化（例如添加化妆或更改的肤）相似的图像扰动。 实验表明，此法可以提泛化能，并减少虚假相关性的影响（例如，将“微笑”检测器的错误率降低21）。物理防御2.具有后退计划的单步对抗训练在对抗训练制度中，模型是通过添加了对抗样本的批次来训练的。 为了减少计算复杂度，使了快速简单的法（例如，单步梯度上升）来成对抗性样本。 结果表明，使单步对抗训练法训练的模型（使迭代法成对抗样本）具有伪鲁棒性。 此外，模型的这种伪鲁棒性归因于梯度掩蔽效应。 然

11、，现有的作法解释在单步对抗训练中何时以及为什么会出现梯度掩蔽效应。 在本项作中，（i）证明了使单步对抗训练法训练的模型学会了防成单步对，这是由于在训练的初始阶段模型的过度拟合，并且（ii）为了减轻这种影响，提出了种具有后退计划的单步对抗训练法。与使现有的单步对抗训练法训练的模型不同，使建议的单步对抗训练法训练的模型对单步和多步对抗攻击均具有鲁棒性，并且其性能与使计算昂贵的多步对抗训练的模型相当。3.对抗性顶点混合：更好地对抗性强健的泛化在本中，作者确定了对抗性特征过度拟合（AFO）可能会导致不良的对抗性鲁棒性泛化，并且证明了对抗训练会在鲁棒性泛化超出最佳点，从在简单斯模型中导致了AFO。考虑到

12、这些理论结果，作者提出了软标签作为AFO问题的解决案。此外，还提出了对抗性顶点混合（AVmixup），种软标记的数据增强法，于改善对抗性强的泛化。通过在CIFAR10，CIFAR100，SVHN和Tiny ImageNet上进的实验对理论分析进补充，表明了AVmixup显着提了鲁棒性的泛化性能，并减少了标准精度与对抗性鲁棒性之间的折衷。4.本项研究提出了Learn2Perturb，种于改善DNN对抗鲁棒性的端到端特征扰动学习法。 更具体地说，引了新颖的扰动注模块，这些模块集成在每层中，来扰动特征空间并增加络中的不确定性。5.图像分类中的对抗鲁棒性基准测试本建了个全、严格、致的基准来评估图像分类

13、任务的对抗鲁棒性。 在简要回顾了许多代表性的攻击和防御法之后，作者以两条鲁棒性曲线作为公正的评估标准进了规模实验，以充分了解这些法的性能。 根据评估结果，得出了些重要的发现，包括：1）模型之间的相对鲁棒性可能会在不同的攻击配置之间发变化，因此励采鲁棒性曲线来评估对抗性鲁棒性；2）作为最有效的防御技术之，对抗训练可以推到不同的威胁模型中；3）基于随机的防御基于查询的盒攻击更健壮。6.在本中，作者提出了种新的法，该法称为带反馈回路的集成成清洗（EGC-FL），于有效防御深度神经络。 提出的EGC-FL法基于两个中思想。 先，我们将转换后的死区层引防御络，该层由正交变换和基于死区的激活函数组成，以破坏对抗攻击的复杂噪声模式。 其次，通过构建带有反馈回路的成式清洁络，我们能够对原始清洁图像进多种估计。 然后，学习个络，将这组多样化的估计融合在起，以恢复原始图像。 泛的实验结果表明，我们的法在盒和盒攻击中都改进了现有技术。 使SVHN数据集，对该法进盒PGD攻击的分类准确性显着提了29以上，对于具有挑战性的CIFAR-10数据集，则提了39以上。7.8.基于对抗权重攻击的Bit-Flip的防御和利对Bit-Flip Attacks进了全研