一、学习扩散模型基石DDPM
Denoising Diffusion Probalistic Models
https://juejin.cn/post/7251391372394053691
一文详解去噪扩散概率模型(DDPM)_ddpm模型-CSDN博客
简述马尔可夫链【通俗易懂】_马尔科夫链在工程中的应用-CSDN博客
什么是马尔可夫链? - 知乎
深度学习中的高斯分布-CSDN博客
扩散模型(二)——DDIM学习笔记-大白话推导-CSDN博客
简单理解,扩散模型分为两部分:前向过程加噪与反向过程去噪。
前向加噪(diffusion process/forward process):每次(timestep)往图片上添加一些噪声,直到变成纯噪声。加噪过程本身不经过模型,按照设定好的超参数进行前向加噪即可。
反向去噪(denoise process/reverse process):真正训练并使用模型。从某一阶段T(timestep)开始,向模型输入当前状态与当前时间,经过一个噪声预测器(UNet),将输入图片减去预测的噪声得到输出图片,即完成降噪,重复这个过程,直到回到原始状态T0。
马尔可夫链
The future is independent of the past given the present
未来独立于过去,只基于当下。
这句人生哲理的话也代表了马尔可夫链的思想:过去所有的信息都已经被保存到了现在的状态,基于现在就可以预测未来
马尔科夫链为状态空间中经过从一个状态到另一个状态的转换的随机过程,该过程要求具备“无记忆性 ”,即下一状态的概率分布只能由当前状态决定,在时间序列中它前面的事件均与之无关。这种特定类型的“无记忆性 ”称作马尔可夫性质。
二、初读论文:
Diffusion Models for Imperceptible and Transferable Adversarial Attack
不可察觉和可转移对抗性攻击的扩散模型
1.背景与动机:
现有的对抗性攻击在图像RGB空间生成Lp-范数扰动,虽然在可迁移性和攻击成功率方面取得了一些成就,但这些攻击生成的对抗样本容易被人眼察觉。
为了提高视觉不可见性,一些最新的工作探索了不受Lp-范数约束的无限制攻击,但这些攻击缺乏对黑盒模型的可迁移性。
2.DiffAttack方法:
提出了一种新的不可见和可迁移的攻击方法,利用扩散模型的生成和判别能力。
与传统的像素空间直接操作不同,DiffAttack在扩散模型的潜在空间中生成扰动。结合内容保持结构,可以生成人类不敏感的扰动,嵌入语义线索。为了提高可迁移性,进一步“欺骗”扩散模型,将其视为隐含的识别代理,通过分散其对目标区域的注意力来实现。
3.方法细节:
DDPM和DDIM反转:介绍了Denoising Diffusion Probabilistic Models(DDPMs)和Denoising Diffusion Implicit Models(DDIMs)的基本原理和反转过程。解释了DDPM的正向和逆向过程,以及DDIM的非马尔可夫过程,这些是实现图像到潜在空间映射的基础。
基本框架:展示了DiffAttack的整体框架,包括如何将干净图像通过DDIM反转技术映射回扩散潜在空间,并在该空间中直接对潜在表示进行优化以欺骗分类器。
“欺骗”扩散模型:通过最小化交叉注意力图之间的方差来“欺骗”预训练的扩散模型,从而提高攻击的可转移性。利用扩散模型的交叉注意力机制来分散模型对目标对象的注意力,增强攻击的可转移性。
1.利用交叉注意力机制:扩散模型(如Stable Diffusion)通常包含交叉注意力层,这些层将文本提示与图像特征结合起来,以生成与文本描述相匹配的图像。通过分析这些交叉注意力图,可以发现模型在重建图像时,文本与图像像素之间的强相关性,这表明了扩散模型具有潜在的识别能力。
2.设计“欺骗”策略:为了“欺骗”扩散模型,作者提出通过最小化交叉注意力图的平均值的方差来分散模型对目标对象的注意力。具体来说,对于给定的干净图像及其对应的文本描述(caption),作者计算了在所有去噪步骤中累积的交叉注意力图,并得到了平均值。
3.最小化方差:通过最小化这个平均交叉注意力图的方差,可以使得模型的注意力不再集中在特定的目标对象上,而是更均匀地分布在图像的所有像素上。这样做的目的是破坏原有的语义关系,使得生成的对抗样本能够更好地“欺骗”扩散模型。
4.增强可转移性:通过上述“欺骗”策略,DiffAttack能够生成在不同模型和防御机制下都具有较好可转移性的对抗样本。这种设计使得DiffAttack具有隐式的集成特性,与传统的显式集成攻击(需要多个替代模型)不同,DiffAttack通过单一的扩散模型实现了类似的效果,且没有额外的内存开销。
保持内容结构:在攻击过程中保持内容结构的完整性,确保生成的对抗样本在视觉上与原始图像保持一致性。提出了利用自注意力图和控制反转强度的方法来保持图像的结构和纹理信息,提高攻击的不可见性。
在这篇文章中,交叉注意(Cross-Attention)和自注意(Self-Attention)是两种用于改进对抗性攻击性能的关键机制,它们在扩散模型中发挥作用。
1.交叉注意(Cross-Attention):交叉注意主要用于“欺骗”扩散模型,提高攻击的可转移性。通过分散模型对目标区域的注意力,使得攻击生成的对抗样本能够更好地欺骗扩散模型:在文本到图像的扩散模型中,交叉注意层将文本提示(例如,图像的描述)与图像的潜在表示结合起来。通过这种方式,模型可以学习文本和图像特征之间的对应关系。在攻击过程中,作者通过最小化交叉注意力图之间的方差来干扰模型的注意力分配,使得模型难以识别出目标对象,从而提高攻击的可转移性。
2.自注意(Self-Attention):自注意主要用于保持攻击过程中内容结构的完整性,确保生成的对抗样本在视觉上与原始图像保持一致性,提高攻击的不可见性:自注意机制计算潜在表示内部的特征之间的关联。这种机制能够捕捉到图像的结构信息,而不仅仅是外观特征。在DiffAttack中,通过比较未经扰动的潜在表示和经过扰动的潜在表示的自注意力图,可以确保扰动后的图像保持与原始图像相似的结构和纹理。这样可以在不显著改变图像外观的情况下,引入对抗性扰动。
“隐式的集成特性”(Implicit Ensemble Characteristic)这个概念在DiffAttack中指的是,尽管DiffAttack主要针对单一的替代模型(surrogate model)进行攻击,但它通过特定的设计和技术手段,使得生成的对抗样本具有类似于多个模型集成攻击的效果。这种效果不是通过直接结合多个模型的输出得到的,而是通过以下方式隐式实现的:
1.交叉注意力的操纵:通过最小化交叉注意力图的平均方差(如论文中所述的Ltransfer损失函数),DiffAttack使得扩散模型的注意力不再集中在特定的目标对象上,而是更均匀地分布在整个图像上。这种方法在一定程度上模拟了多个模型对同一图像的不同关注点,从而提高了攻击的可转移性。
2.扩散模型的判别能力:扩散模型在训练过程中学习了大量的图像数据,因此具备了一定的判别能力。这种能力使得扩散模型能够近似作为一个隐含的替代模型,用于生成具有较好可转移性的对抗样本。
3.模拟集成攻击的效果:传统的集成攻击方法(如 ensemble attacks)通常需要训练或使用多个不同的模型来生成对抗样本,以期望这些样本能够在多个目标模型上有效。而DiffAttack通过操纵单一扩散模型的内部机制,隐式地模拟了这种集成攻击的效果,而无需实际使用多个模型。
4.无需额外的模型和内存开销:由于DiffAttack不需要额外训练或存储多个模型,因此它避免了传统集成攻击方法中的内存和计算开销。这种隐式集成特性使得DiffAttack在资源有限的环境中仍然有效。
接下来查看代码细节,并探寻一下扩散与对抗的联系
转载本文请联系原作者获取授权,同时请注明本文来自高悦航科学网博客。
链接地址:https://wap.sciencenet.cn/blog-3623002-1463450.html?mobile=1
收藏
