Boosting Adversarial Transferability via Fusing Logits of Top-1 Decomposed Feature

要約

タイトル：特徴のトップ1の分解ロジットを融合することによる敵対的転移性の向上
要約：
– DNNは敵対的なサンプルに対して高度に脆弱であり、転送可能であるため、不明なブラックボックスモデルを攻撃するために使用できることが示されています。
– ニューロンの活性化を中間層で中断するために、いくつかの特徴ベースの敵対的攻撃手法が提案されていますが、現在の最先端の特徴ベースの攻撃手法は、通常ニューロンの重要性を推定するための追加の計算コストが必要です。
– この課題に対処するために、特徴レベルでのSVDベースの攻撃手法を提案しています。我々のアプローチは、中間層の特徴から分解された大きな特異値に関連する固有ベクトルが優れた一般化と注視特性を示すことが発見されたことに基づいています。
– 私たちは、敵対的な摂動を最適化するために、出力ロジットを計算するために分解されたトップ1特異値に関連する特徴を保持して攻撃を実行し、元のロジットと組み合わせます。
– 本提案手法の効果を検証するために、さまざまなベースラインモデルや防御戦略に対する敵対的なサンプルの転送可能性を大幅に向上させることを示す広範な実験的結果を得ました。

要約(オリジナル)

Recent research has shown that Deep Neural Networks (DNNs) are highly vulnerable to adversarial samples, which are highly transferable and can be used to attack other unknown black-box models. To improve the transferability of adversarial samples, several feature-based adversarial attack methods have been proposed to disrupt neuron activation in middle layers. However, current state-of-the-art feature-based attack methods typically require additional computation costs for estimating the importance of neurons. To address this challenge, we propose a Singular Value Decomposition (SVD)-based feature-level attack method. Our approach is inspired by the discovery that eigenvectors associated with the larger singular values decomposed from the middle layer features exhibit superior generalization and attention properties. Specifically, we conduct the attack by retaining the decomposed Top-1 singular value-associated feature for computing the output logits, which are then combined with the original logits to optimize adversarial perturbations. Our extensive experimental results verify the effectiveness of our proposed method, which significantly enhances the transferability of adversarial samples against various baseline models and defense strategies.The source code of this study is available at \href{https://anonymous.4open.science/r/SVD-SSA-13BF/README.md}.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI