Alternating Objectives Generates Stronger PGD-Based Adversarial Attacks

要約

強力な敵対的攻撃を設計することは、$\ell_p$ 境界の敵対的防御の評価にとって最も重要です。
Projected Gradient Descent (PGD) は、そのような敵対者を生成するための最も効果的で概念的に単純なアルゴリズムの 1 つです。
PGD​​ の検索空間は、目標の最も急な上昇方向によって決定されます。
目的関数の選択肢が多すぎるにもかかわらず、普遍的に優れた選択肢はなく、ロバスト性の過大評価は不適切な目的選択から生じる可能性があります。
この観察に基づいて、単純な損失交互スキームによるさまざまな目的の組み合わせにより、PGDが設計の選択に対してより堅牢になると仮定します。
合成データの例でこの主張を実験的に検証し、25 の異なる $\ell_{\infty}$ 堅牢なモデルと 3 つのデータセットで提案された方法を評価します。
単一の損失の対応物と比較すると、パフォーマンスの向上は一貫しています。
CIFAR-10 データセットでは、最も強力な敵対的攻撃は、AutoAttack (AA) アンサンブルのすべてのホワイト ボックス コンポーネント、および文献に存在する最も強力な攻撃よりも優れており、計算で最先端の結果を達成しています。
私たちの調査の予算 ($T=100$、再起動なし)。

要約(オリジナル)

Designing powerful adversarial attacks is of paramount importance for the evaluation of $\ell_p$-bounded adversarial defenses. Projected Gradient Descent (PGD) is one of the most effective and conceptually simple algorithms to generate such adversaries. The search space of PGD is dictated by the steepest ascent directions of an objective. Despite the plethora of objective function choices, there is no universally superior option and robustness overestimation may arise from ill-suited objective selection. Driven by this observation, we postulate that the combination of different objectives through a simple loss alternating scheme renders PGD more robust towards design choices. We experimentally verify this assertion on a synthetic-data example and by evaluating our proposed method across 25 different $\ell_{\infty}$-robust models and 3 datasets. The performance improvement is consistent, when compared to the single loss counterparts. In the CIFAR-10 dataset, our strongest adversarial attack outperforms all of the white-box components of AutoAttack (AA) ensemble, as well as the most powerful attacks existing on the literature, achieving state-of-the-art results in the computational budget of our study ($T=100$, no restarts).

arxiv情報

提供元, 利用サービス

arxiv.jp, Google