CVPR 2021大赛，安全AI 之防御模型的「白盒对抗攻击」解析_我爱计算机视觉的博客

2 题目赛况

2.1 赛题简介

2.2 数据介绍

比赛方通过15个防御模型测试选手提交的攻击算法，其中包括13个在CIFAR-10上训练的模型和2个在ImageNet上训练的模型，比赛方将会利用CIFAR-10测试集的前1000个数据和ImageNet ILSVRC 2012验证集中随机挑选的1000个数据进行测试。为了方便查阅我将其整理成如下表格：

表1 模型介绍

举办的比赛方很贴心，他们已经将这些模型链接的下载程序https://github.com/thu-ml/ares/tree/contest 中，如下图所示，为各个模型下载的程序。

需要注意的一点是这些预训练好的模型大部分存储在google 的Drive云端中，所以需要梯子来进行下载。

为了能够让大家更加方便的去获取模型我将这13个Cifar-10模型和2个Imagenet模型存放到百度云盘中。下载模型的链接和密码分别为：

链接：https://pan.baidu.com/s/13Je6K5TjNeGiReAtOUBfew
密码：CVPR

2.3 评价指标

本次比赛的提交评测，在主办方提供的ARES评测平台上进行。

平台的链接为：

https://github.com/thu-ml/ares/tree/contest

选手需要提交白盒攻击算法的源代码（不同于以往，之前需要提交对抗样本）。这些提交将会在。提交的攻击算法可以获取到白盒模型的信息，但是仅仅可以获得模型的logits输出，然后在此输出的基础上设计攻击目标函数或者梯度更新方式。

需要注意的是基于模型特征上的白盒攻击算法不被允许。本次比赛鼓励参赛者开发出“通用”的攻击算法，使得它们不是针对某一个模型特制的，而是对于所有模型都可以达到很好的攻击效果。

通过防御模型的分类错误率作为提交攻击的得分（越高越好）。计算公式如下：

，否则平台将会自动进行clip裁剪。

3 提交文件介绍

本次比赛提交的是攻击代码，而不是在本地生成的对抗样本。每个提交都是一个名为 Attacker.zip （或者是attacker.zip ）的Python软件包的zip 压缩包。在__init__.py 中实现自己的对抗攻击类，主办方为了实现接口的统一，需要调用ares.attack.base中的抽象类BatchAttack对其进行改写，类中共包含3个函数，分别是 __init__()，config()，batch_attack() 。

__init__() 函数接受4个参数：model, batch_size, dataset, session。

model 是ares.model.base.ClassifierWithLogits的实例。可以用过调用
model.logits(xs)得到模型的logits输出，进而通过调用tf.gradients() 计算模型梯度。其还提供了模型的其他信息，比如模型的输入数据范围[model.x_min, model.x_max], 模型输入数据的维度model.x_shape。
batch_size 是对于模型建议的batch_ size。需要通过此batch_ size 对模型进行调用。我们保证了充足的GPU内存。batch_size在CIFAR-10上是100；在ImageNet上是20。
dataset 是“imagenet”或“cifar10”的字符串。
session 是tf.Session的实例。模型将会读入此session。需要通过此session运行模型。

config函数接受关键词参数kwargs，将扰动通过kwargs[“magnitude”]传入，此函数的返回值被忽略。

batch_attack函数接受3个参数: xs, ys, ys_target。

xs 是原始样本。需要对其产生对抗样本。xs是numpy格式的数组, 其维度为(batch_size, *model.x_shape)。
ys 是对应的真实类别。
ys_target 用于目标攻击，在此次比赛中没有用到，将被设置为None。

主办方在评测的过程中需要对提交的攻击限制时长：

每个数据的平均梯度计算次数应少于100次
平均模型预测次数应少于200次
所有模型的总运行时间应少于3小时

4 实际提交

在提交自己的代码之前一定需要现在本地的实验环境中先跑通否则就会各种报错，如下图所示：

我提交的是PGD攻击的样例代码，可以得到44.07的分数，进一步的攻击还在尝试中。

总体的排行榜如下所示，最高分是52.36分。

2月25日将有一场赛事直播，欢迎围观~

备注：对抗

对抗学习交流群

扫码备注拉你入群。

cvpr 2021模板，包括latex、word版本，模板使用bib生成参考文献，包含所需的包\documentclass[review]{ cvpr } %\documentclass[final]{ cvpr } \usepackage{times} \usepackage{epsfig} \usepackage{graphicx} \usepackage{amsmath} \usepackage{amssymb} 论文笔记：DEEPSEC: A Uniform Platform for Security Analysis of Deep Learning ModelABSTRACTINTORDUCTIONATTACKS & DEFENSESSYSTEM DESIGN AND IMPLEMENTATIONEVALUATIONS ABSTRACT 介绍了DEEPSEC的设计、实施和评估。 DEEPSEC包括16种最先进的攻击方法（带有10个攻击实用度量标准）和13种最先进的防御方法（带有5个防御实用度量标文章目录一、白盒攻击 1.FGSM2.JSMA：3.DeepFool：4.CW：5.PGD:二、黑盒攻击 1.单像素攻击 2.基于查询3.基于迁移4.基于替代5.其他三、对抗攻击与目标检测四、对抗训练&鲁棒性只是一个自己看过的论文小汇总，还不能当综述，但也包含了很多经典的对抗攻击算法，方便回顾和查询，自己看的第一篇综述是： Advances in adversarial attacks and defenses in computer vision: A survey 论文这件事，真的只能多看，上学期看目录1. 对抗攻击背景知识2. 白盒攻击技术2.1 基于直接优化得攻击方法2.1.1 基于 Box-constr ai ned L-BFGS 的攻击 2.1.2 C&W 攻击 2.2 基于梯度优化的攻击方法2.2.1 FGSM 攻击（基于一步梯度计算的对抗样本生成算法）2.2.2 I-FGSM 攻击（迭代的FGSM算法）2.2.3 PGD 攻击（迭代的 FGSM 算法，与 I-FGSM 攻击类似）2.2.4 MI-FGSM 攻击（基于动量的迭代生成对抗样本的 MI-FGSM 算法）2.3 基于决策边界分析的攻击密码技术概念：密码技术，顾名思义，就是试图通过各种方法隐藏敏感数据，以防止他人看到这些信息。实际生活中由于受到多种因素及环境状况的影响，密钥的保护强度被削弱了。在白盒环境下，传统密码技术缺少足够的防护. 对抗样本的本质就是在原数据上叠加一些使机器学习模型可接受而人眼无法察觉的细微改变，使得机器学习模型对输入数据产生误判。从数学的角度看：输入数据xxx,机器学习模型 fff,叠在这篇文章中，作者研究了图上的一种攻击，GIA图注入攻击。这篇文章的攻击方法并没有修改原图的链路结构（删除或者是添加边）或者是结点属性，而是直接往图上注入（inject）对抗结点。作者提出了拓扑缺陷图注入攻击（TDGIA），首先使用拓扑缺陷边选择策略来选择和注入结点有联系的原始图上的结点。然后使用平滑特征优化方法来获取注入结点的特征。在大型数据集上的实验表明，TDGIA的表现要优于已有的攻击 baseline的结果。作者拿自己的攻击方法参加了KDD-CUP2020的比赛，发现使用了TDGIA后GNN 模型论文链接：https://arxiv.org/abs/1711.05929 进入研究生阶段的学习已经一年多了，在此期间阅读了不少论文，也大都有做下一些笔记。然而，出于自己的惰性，一直没有系统的将它们整理归纳起来。因此，从今天开始希望以每天一篇论文讲解的形式将自己过往阅读过的，感兴趣的，项目中所用到过的论文在博客上进行一次梳理。所谓温故而知新，在梳理的同时期许自己能够有新的收获，和大家一同成长... 原创稿件征集邮箱：edu@antvsion.comQQ：3200599554黑客与极客相关，互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的... ●赛题背景●随着人脸识别、动作识别、假货识别等应用场景的出现， AI 与安全结合的成果愈加丰硕，但 AI 面临的安全问题也逐渐浮出水面。为了抵御未来 AI 面临的安全风险，阿里安全联合清华大学，以对抗 ...