对抗样本方向论文泛读笔记(长期更新)_natural color fool:towards boosting black-box

natural color fool:towards boosting black-box

部分笔记基于知乎博主:咫尺小厘米 - 知乎

1. 黑盒攻击方向

1.1 Natural Color Fool: Towards Boosting Black-box Unrestricted Attacks

代码:   https://github.com/VL-Group/Natural-Color-Fool


颜色分布库 Color Distribution Library

作者借鉴了Photographic tone reproduction的思想,基于 ADE20K数据集构建了针对不同语义类的“颜色分布的分布”(“distribution of color distributions“,DoD)。 具体来说,对于每个类别,DoD 提供了 20 个不同的主要分布集(由颜色分布表示),这些分布集是通过基于数据集中相应分割类别的调色板的层次聚类获得的,然后,由于每个簇中语义类的颜色分布相似,我们在每个簇中选择一个对象来表示该样式,最后,我们提取颜色分布形成我们的颜色分布库

Natural Color Fool (NCF) 黑盒攻击主要流程


1.2 Towards Large yet Imperceptible Adversarial Image Perturbations with Perceptual Color Distance

这篇论文的第2部分“Background on Perceptual Color Distance”主要介绍了感知颜色距离(Perceptual Color Distance)的概念,以及它是如何与传统的RGB颜色空间中的距离度量相比较的。下面是对这部分内容的详细解释:

  1. 感知颜色距离的重要性

    • 传统的计算机视觉研究主要关注颜色空间本身,而不是颜色之间的距离。感知颜色距离是指人类视觉系统如何感知颜色之间的差异。
    • 感知颜色距离的研究对于理解人类如何感知颜色变化至关重要,这在图像处理、图像合成和其他视觉任务中非常有用。
  2. CIEDE2000颜色差异公式

    • 论文中使用的感知颜色距离度量是CIEDE2000,这是国际照明委员会(CIE)开发的最新颜色差异标准。
    • CIEDE2000通过添加五个修正项来改进前一版CIELAB颜色空间的定义,这些修正项基于大规模的人类视觉研究,能够更好地模拟人类的颜色感知。
    • CIEDE2000的颜色差异计算涉及到CIELCH颜色空间中的亮度(L)、色度(C)和色相(H)三个通道的差异,以及这些差异之间的交互项。
  3. 像素级感知颜色距离的计算

    • 论文中给出了CIEDE2000颜色差异的计算公式,该公式考虑了像素值在CIELCH空间中的亮度、色度和色相的差异。
    • 公式中的权重函数(SL, SC, SH, RT)和常数(kL, kC, kH)是根据人类视觉感知的实验研究确定的,用于补偿以更好地模拟人类的颜色感知。
  4. 与Lp范数的比较

    • 论文指出,虽然也可以使用Lp范数来度量CIELAB空间中的距离,但这种距离与人类感知的颜色距离相比,CIEDE2000更为准确。
    • 以往的研究中,CIEDE2000主要用于评估图像对的颜色相似性,而在本论文中,作者直接使用CIEDE2000进行优化,而不仅仅是用于评估。
  5. 相关工作

    • 论文提到了一些先前的研究,这些研究采用了CIEDE2000来评估图像对的颜色相似性,例如图像质量评估和图像超分辨率研究。
    • 与这些研究不同,作者在本论文中使用CIEDE2000直接进行优化,并通过反向传播来生成对抗样本。
  6. 像素感知颜色距离pixel-wise perceptual color distance


  • ∆E00:两个颜色之间的总颜色差异。
  • ∆L′, ∆C′, ∆H′:分别表示在CIELCH颜色空间中,两个颜色的亮度(Lightness)、色度(Chroma)和色相(Hue)之间的差异。
  • kL, kC, kH:是权重因子,用于调整不同颜色通道的重要性。这些权重因子通常在图形艺术应用中设置为1。
  • ∆R:是一个交互项,用于考虑色度和色相差异之间的相互作用。


CIEDE2000公式的关键在于它考虑了颜色差异的非线性特性,以及人类视觉系统对不同颜色变化的敏感度。例如,人眼对亮度变化的敏感度通常高于色度和色相变化。因此,这个公式通过权重因子kL, kC, kH来调整这些维度的相对重要性。





  1. """
  2. CIELAB空间是一种颜色模型,由国际照明委员会(Commission Internationale de l'Éclairage,简称CIE)在1976年定义。
  3. 这个模型是为了创建一个更符合人类视觉感知的颜色空间,它将颜色的感知属性分为三个主要的维度:亮度(Lightness,L*)、色度(Chroma,C*)和色相(Hue,H*)。
  4. CIELAB空间的特点如下:
  5. *亮度(L)**:亮度是颜色的明暗程度,它反映了颜色的明度。在CIELAB空间中,亮度的值范围通常是从0(纯黑)到100(纯白)。
  6. *色度(C)**:色度表示颜色的饱和度,即颜色的纯度。一个高色度值意味着颜色非常饱和,而低色度值则表示颜色接近灰色。色度是一个从中心(灰色)向外辐射的度量,不考虑颜色的具体类型。
  7. *色相(H)**:色相描述了颜色的种类,它是一个角度值,用来区分不同的颜色。色相的范围通常是0°到360°,对应于颜色轮上的不同颜色,如红色、绿色、蓝色等
  8. """
  9. def rgb2lab_diff(rgb_image,device):
  10. '''
  11. Function to convert a batch of image tensors from RGB space to CIELAB space.
  12. parameters: xn, yn, zn are the CIE XYZ tristimulus values of the reference white point.
  13. Here use the standard Illuminant D65 with normalization Y = 100.
  14. '''
  15. rgb_image=rgb_image.to(device)
  16. res = torch.zeros_like(rgb_image) # 初始化一个与输入RGB图像形状相同的零张量,用于存储转换后的CIELAB图像
  17. xyz_image = rgb2xyz(rgb_image,device) # 将RGB图像转换为XYZ颜色空间,这是转换到CIELAB的中间步骤
  18. # 定义参考白点(D65)的XYZ值
  19. xn = 95.0489
  20. yn = 100
  21. zn = 108.8840
  22. # 从XYZ图像中提取X、Y、Z三个颜色通道
  23. x = xyz_image[:,0, :, :]
  24. y = xyz_image[:,1, :, :]
  25. z = xyz_image[:,2, :, :]
  26. # 计算亮度(L*)分量,这里使用了CIELAB空间的亮度公式
  27. L = 116*xyz_lab(y/yn,device) - 16
  28. # 计算a*分量,表示颜色在绿色到红色轴上的位置
  29. a = 500*(xyz_lab(x/xn,device) - xyz_lab(y/yn,device))
  30. # 计算b*分量,表示颜色在蓝色到黄色轴上的位置
  31. b = 200*(xyz_lab(y/yn,device) - xyz_lab(z/zn,device))
  32. # 将计算出的L*、a*、b*分量分别赋值给结果张量的对应通道
  33. res[:, 0, :, :] = L
  34. res[:, 1, :, :] = a
  35. res[:, 2, :, :] = b
  36. # 返回转换后的CIELAB图像
  37. return res
  38. #计算两张图片的ciede2000_diff
  39. def ciede2000_diff(lab1, lab2,device):
  40. '''
  41. CIEDE2000 metric to claculate the color distance map for a batch of image tensors defined in CIELAB space
  42. '''
  43. lab1=lab1.to(device)
  44. lab2=lab2.to(device)
  45. L1 = lab1[:,0,:,:]
  46. A1 = lab1[:,1,:,:]
  47. B1 = lab1[:,2,:,:]
  48. L2 = lab2[:,0,:,:]
  49. A2 = lab2[:,1,:,:]
  50. B2 = lab2[:,2,:,:]
  51. kL = 1
  52. kC = 1
  53. kH = 1
  54. mask_value_0_input1=((A1==0)*(B1==0)).float()
  55. mask_value_0_input2=((A2==0)*(B2==0)).float()
  56. mask_value_0_input1_no=1-mask_value_0_input1
  57. mask_value_0_input2_no=1-mask_value_0_input2
  58. B1=B1+0.0001*mask_value_0_input1
  59. B2=B2+0.0001*mask_value_0_input2
  60. C1 = torch.sqrt((A1 ** 2.) + (B1 ** 2.))
  61. C2 = torch.sqrt((A2 ** 2.) + (B2 ** 2.))
  62. aC1C2 = (C1 + C2) / 2.
  63. G = 0.5 * (1. - torch.sqrt((aC1C2 ** 7.) / ((aC1C2 ** 7.) + (25 ** 7.))))
  64. a1P = (1. + G) * A1
  65. a2P = (1. + G) * A2
  66. c1P = torch.sqrt((a1P ** 2.) + (B1 ** 2.))
  67. c2P = torch.sqrt((a2P ** 2.) + (B2 ** 2.))
  68. h1P = hpf_diff(B1, a1P)
  69. h2P = hpf_diff(B2, a2P)
  70. h1P=h1P*mask_value_0_input1_no
  71. h2P=h2P*mask_value_0_input2_no
  72. dLP = L2 - L1
  73. dCP = c2P - c1P
  74. dhP = dhpf_diff(C1, C2, h1P, h2P)
  75. dHP = 2. * torch.sqrt(c1P * c2P) * torch.sin(radians(dhP) / 2.)
  76. mask_0_no=1-torch.max(mask_value_0_input1,mask_value_0_input2)
  77. dHP=dHP*mask_0_no
  78. aL = (L1 + L2) / 2.
  79. aCP = (c1P + c2P) / 2.
  80. aHP = ahpf_diff(C1, C2, h1P, h2P)
  81. T = 1. - 0.17 * torch.cos(radians(aHP - 39)) + 0.24 * torch.cos(radians(2. * aHP)) + 0.32 * torch.cos(radians(3. * aHP + 6.)) - 0.2 * torch.cos(radians(4. * aHP - 63.))
  82. dRO = 30. * torch.exp(-1. * (((aHP - 275.) / 25.) ** 2.))
  83. rC = torch.sqrt((aCP ** 7.) / ((aCP ** 7.) + (25. ** 7.)))
  84. sL = 1. + ((0.015 * ((aL - 50.) ** 2.)) / torch.sqrt(20. + ((aL - 50.) ** 2.)))
  85. sC = 1. + 0.045 * aCP
  86. sH = 1. + 0.015 * aCP * T
  87. rT = -2. * rC * torch.sin(radians(2. * dRO))
  88. # res_square=((dLP / (sL * kL)) ** 2.) + ((dCP / (sC * kC)) ** 2.) + ((dHP / (sH * kH)) ** 2.) + rT * (dCP / (sC * kC)) * (dHP / (sH * kH))
  89. res_square=((dLP / (sL * kL)) ** 2.) + ((dCP / (sC * kC)) ** 2.)*mask_0_no + ((dHP / (sH * kH)) ** 2.)*mask_0_no + rT * (dCP / (sC * kC)) * (dHP / (sH * kH))*mask_0_no
  90. mask_0=(res_square<=0).float()
  91. mask_0_no=1-mask_0
  92. res_square=res_square+0.0001*mask_0
  93. res=torch.sqrt(res_square)
  94. res=res*mask_0_no
  95. return res


  1. def quantization(x):
  2. """quantize the continus image tensors into 255 levels (8 bit encoding)"""
  3. x_quan=torch.round(x*255)/255
  4. return x_quan
  5. class PerC_AL:
  6. """
  7. PerC_AL: Alternating Loss of Classification and Color Differences to achieve imperceptibile perturbations with few iterations.
  8. Parameters
  9. ----------
  10. max_iterations : int
  11. Number of iterations for the optimization.
  12. alpha_l_init: float
  13. step size for updating perturbations with respect to classification loss
  14. alpha_c_init: float
  15. step size for updating perturbations with respect to perceptual color differences
  16. confidence : float, optional
  17. Confidence of the adversary for Carlini's loss, in term of distance between logits.
  18. Note that this approach only supports confidence setting in an untargeted case
  19. device : torch.device, optional
  20. Device on which to perform the adversary.
  21. """
  22. def __init__(self,
  23. max_iterations: int = 1000,
  24. alpha_l_init: float = 1.,
  25. #for relatively easy untargeted case, alpha_c_init is adjusted to a smaller value (e.g., 0.1 is used in the paper)
  26. alpha_c_init: float = 0.5,
  27. confidence: float = 0,
  28. device: torch.device = torch.device('cpu')
  29. ) -> None:
  30. self.max_iterations = max_iterations #1000
  31. self.alpha_l_init = alpha_l_init #1
  32. self.alpha_c_init = alpha_c_init #0.5
  33. self.confidence = confidence #40
  34. self.device = device
  35. #model:Inception v3 target=False inputs:干净样本=[B,3,299,299] labels:这些样本的标签 targeted=False
  36. def adversary(self, model: nn.Module, inputs: torch.Tensor, labels: torch.Tensor,
  37. targeted: bool = True) -> torch.Tensor:
  38. """
  39. Performs the adversary of the model given the inputs and labels.
  40. Parameters
  41. ----------
  42. model : nn.Module
  43. Model to fool.
  44. inputs : torch.Tensor
  45. Batch of image examples in the range of [0,1].
  46. labels : torch.Tensor
  47. Original labels if untargeted, else labels of targets.
  48. targeted : bool, optional
  49. Whether to perform a targeted adversary or not.
  50. Returns
  51. -------
  52. torch.Tensor
  53. Batch of image samples modified to be adversarial
  54. """
  55. if inputs.min() < 0 or inputs.max() > 1: raise ValueError('Input values should be in the [0, 1] range.')
  56. alpha_l_min=self.alpha_l_init/100 #alpha_l_min=0.01
  57. alpha_c_min=self.alpha_c_init/10 #alpha_c_min=0.05
  58. multiplier = -1 if targeted else 1 #multiplier=1
  59. X_adv_round_best=inputs.clone()
  60. inputs_LAB=rgb2lab_diff(inputs,self.device) #获取干净RGB图片对应的CIELAB图片
  61. batch_size=inputs.shape[0]
  62. delta=torch.zeros_like(inputs, requires_grad=True)
  63. mask_isadv= torch.zeros(batch_size,dtype=torch.uint8).to(self.device) #[B]全0的tensor
  64. color_l2_delta_bound_best=(torch.ones(batch_size)*100000).to(self.device) #[B]全100000的tensor
  65. if (targeted==False) and self.confidence!=0:
  66. labels_onehot = torch.zeros(labels.size(0), 1000, device=self.device) #[B,1000]全0tensor
  67. labels_onehot.scatter_(1, labels.unsqueeze(1), 1)
  68. labels_infhot = torch.zeros_like(labels_onehot).scatter_(1, labels.unsqueeze(1), float('inf')) #[B,1000]全0tensor
  69. if (targeted==True) and self.confidence!=0:
  70. print('Only support setting confidence in untargeted case!')
  71. return
  72. for i in range(self.max_iterations): #1到1000
  73. # cosine annealing for alpha_l_init and alpha_c_init max_iterations=1000,pi=Π
  74. alpha_c=alpha_c_min+0.5*(self.alpha_c_init-alpha_c_min)*(1+cos(i/self.max_iterations*pi)) #alpha_c=0.5 pixel-wise perceptual color distance 每次迭代的步长
  75. alpha_l=alpha_l_min+0.5*(self.alpha_l_init-alpha_l_min)*(1+cos(i/self.max_iterations*pi)) #alpha_l=1.0 对应L2攻击每次迭代的步长
  76. loss = multiplier * nn.CrossEntropyLoss(reduction='sum')(model((inputs+ delta-0.5)/0.5), labels) #loss黑盒对抗损失
  77. loss.backward()
  78. grad_a=delta.grad.clone() #grad_a=[B,3,299,299] loss对 对抗样本 的梯度
  79. delta.grad.zero_() #~mask_isadv默认=全1,图片没有部分被掩盖 ,delta.data清空=全0的[B,3,299,299]的tensor permute(1,2,3,0)使得B到最后 permute(3,0,1,2)又把B调回第一
  80. delta.data[~mask_isadv]=delta.data[~mask_isadv]+alpha_l*(grad_a.permute(1,2,3,0)/torch.norm(grad_a.view(batch_size,-1),dim=1)).permute(3,0,1,2)[~mask_isadv]
  81. d_map=ciede2000_diff(inputs_LAB,rgb2lab_diff(inputs+delta,self.device),self.device).unsqueeze(1) #干净样本的CIELAB图片 和对抗样本的CIELAB图片 之间的pixel-wise perceptual color distance
  82. color_dis=torch.norm(d_map.view(batch_size,-1),dim=1) #color_dis=[5]的tensor
  83. color_loss=color_dis.sum()
  84. color_loss.backward()
  85. grad_color=delta.grad.clone()
  86. delta.grad.zero_()
  87. delta.data[mask_isadv]=delta.data[mask_isadv]-alpha_c* (grad_color.permute(1,2,3,0)/torch.norm(grad_color.view(batch_size,-1),dim=1)).permute(3,0,1,2)[mask_isadv]
  88. delta.data=(inputs+delta.data).clamp(0,1)-inputs
  89. X_adv_round=quantization(inputs+delta.data) #X_adv_round=torch.round((inputs+delta)*255)/255
  90. #C&W评估样本对抗性
  91. if (targeted==False) and self.confidence!=0: #targeted=False,confidence=40
  92. logits = model((X_adv_round-0.5)/0.5) #logits=[B,1000],进入softmax之前的评分矩阵
  93. real = logits.gather(1, labels.unsqueeze(1)).squeeze(1) #ft(x')
  94. other = (logits - labels_infhot).max(1)[0] #maxfi≠t(x')
  95. print(f'第{i}轮:置信度{real - other}')
  96. mask_isadv=(real - other)<=-40 #ft(x')-maxfi≠t(x')<=-40 才算攻击成功,给该部分mask上
  97. elif self.confidence==0:
  98. if targeted:
  99. mask_isadv=torch.argmax(model((X_adv_round-0.5)/0.5),dim=1)==labels
  100. else:
  101. mask_isadv=torch.argmax(model((X_adv_round-0.5)/0.5),dim=1)!=labels
  102. mask_best=(color_dis.data<color_l2_delta_bound_best)
  103. mask=mask_best * mask_isadv
  104. color_l2_delta_bound_best[mask]=color_dis.data[mask]
  105. X_adv_round_best[mask]=X_adv_round[mask]
  106. return X_adv_round_best



