AdvSmo: Black-box Adversarial Attack by Smoothing Linear Structure of Texture

要約

ブラックボックス攻撃は通常、転送性の低さと敵対的な防御を回避できないという2つの問題に直面します。
これらの欠点を克服するために、AdvSmoと呼ばれる良性の画像のテクスチャの線形構造を平滑化することにより、敵対的な例を生成する独自のアプローチを作成します。
ターゲットモデルの内部情報に依存せずに敵対的な例を構築し、ガボールフィルターが適切な角度とスケールを選択して入力画像から線形テクスチャを滑らかにして敵対的な例を生成するようにガイドする、知覚できないほど高い攻撃成功率の制約を設計します。
上記の設計コンセプトの恩恵を受けて、AdvSmoは強力な転送可能性と確実な回避性を備えた敵対的な例を生成します。
最後に、4つの高度なブラックボックスの敵対的攻撃方法と比較して、8つのターゲットモデルについて、結果は、AdvSmoがCIFAR-10で9％、Tiny-ImageNetデータセットで16％の平均攻撃成功率を改善することを示しています。
これらの攻撃方法の最良のもの。

要約(オリジナル)

Black-box attacks usually face two problems: poor transferability and the inability to evade the adversarial defense. To overcome these shortcomings, we create an original approach to generate adversarial examples by smoothing the linear structure of the texture in the benign image, called AdvSmo. We construct the adversarial examples without relying on any internal information to the target model and design the imperceptible-high attack success rate constraint to guide the Gabor filter to select appropriate angles and scales to smooth the linear texture from the input images to generate adversarial examples. Benefiting from the above design concept, AdvSmo will generate adversarial examples with strong transferability and solid evasiveness. Finally, compared to the four advanced black-box adversarial attack methods, for the eight target models, the results show that AdvSmo improves the average attack success rate by 9% on the CIFAR-10 and 16% on the Tiny-ImageNet dataset compared to the best of these attack methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google