Diversifying the High-level Features for better Adversarial Transferability

要約

タイトル：Adversarial Transferabilityの向上のための高次元特徴の多様化

要約：
– DNN（Deep Neural Networks）に対する敵対的攻撃の脅威が大きいため、現実のアプリケーションに対する攻撃転送性を向上させるための数多くの方法が提案されている。
– しかし、既存の攻撃手法は高度な勾配計算や入力変換を利用しているが、白箱モデルは無視している。
– DNNは過学習しているため、分類性能に影響を与えずに高次元特徴をランダムに変換し、各反復時に良性サンプルの特徴と混ぜることで高次元特徴を変換することで、高次元特徴を多様化し、より攻撃転送性を向上させることを提案する。
– この変換は、パラメータの冗長性のため、分類パフォーマンスに影響を与えず、異なるモデル間の不変特徴を特定するのに役立ちます。
– ImageNetデータセット上の実証評価では、DHFが既存の運動量ベースの攻撃の攻撃転送性を効果的に向上させることができたことがわかった。
– 入力変換ベースの攻撃に組み込まれていると、DHFはより攻撃の転送性の向上に寄与し、いくつかの防御モデルを攻撃するときに、ベースラインよりも明確に優れた成果を示し、攻撃の多様化に対する汎用性と高い効果性を示しています。

要約(オリジナル)

Given the great threat of adversarial attacks against Deep Neural Networks (DNNs), numerous works have been proposed to boost transferability to attack real-world applications. However, existing attacks often utilize advanced gradient calculation or input transformation but ignore the white-box model. Inspired by the fact that DNNs are over-parameterized for superior performance, we propose diversifying the high-level features (DHF) for more transferable adversarial examples. In particular, DHF perturbs the high-level features by randomly transforming the high-level features and mixing them with the feature of benign samples when calculating the gradient at each iteration. Due to the redundancy of parameters, such transformation does not affect the classification performance but helps identify the invariant features across different models, leading to much better transferability. Empirical evaluations on ImageNet dataset show that DHF could effectively improve the transferability of existing momentum-based attacks. Incorporated into the input transformation-based attacks, DHF generates more transferable adversarial examples and outperforms the baselines with a clear margin when attacking several defense models, showing its generalization to various attacks and high effectiveness for boosting transferability.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI