Boosting Adversarial Transferability via Fusing Logits of Top-1 Decomposed Feature

要約

タイトル：トップ1分解特徴のロジットの融合による敵対的転移の強化

要約：

– DNN（Deep Neural Networks）は、敵対的サンプルに対して弱いことがわかっており、これらは高い転移性があり、他の未知のブラックボックスモデルを攻撃するために使用できる。
– 敵対的サンプルの転移性を改善するために、いくつかの特徴ベースの敵対的攻撃手法が提案されており、これらは中間層のニューロン活性を妨げるために使用される。
– しかし、現在の最先端の特徴ベース攻撃手法は、通常、ニューロンの重要性を推定するために追加の計算コストが必要となる。
– この課題に対処するために、Singular Value Decomposition（SVD）に基づく特徴レベルの攻撃手法を提案する。
– このアプローチは、中間層の特徴から分解された大きい特異値に関連づけられた固有ベクトルが、優れた一般化と注意特性を示すことが分かったことに着想を得ている。
– 具体的には、攻撃を実行するために、アウトプットロジットを計算するために分解されたトップ1特異値に関連付けられた機能を保持し、オリジナルのロジットと組み合わせて、敵対的な例を最適化する。
– 実験結果は、提案された手法の有効性を検証し、通常トレーニングされたCNNと高度な防御戦略を妨害するための敵対的サンプルの転移性を大幅に向上させるためにさまざまな基準に簡単に統合できることを示している。
– この研究のソースコードは\textcolor{blue}{\href{https://anonymous.4open.science/r/SVD-SSA-13BF/README.md}{リンク}}で利用可能。

要約(オリジナル)

Recent research has shown that Deep Neural Networks (DNNs) are highly vulnerable to adversarial samples, which are highly transferable and can be used to attack other unknown black-box models. To improve the transferability of adversarial samples, several feature-based adversarial attack methods have been proposed to disrupt neuron activation in the middle layers. However, current state-of-the-art feature-based attack methods typically require additional computation costs for estimating the importance of neurons. To address this challenge, we propose a Singular Value Decomposition (SVD)-based feature-level attack method. Our approach is inspired by the discovery that eigenvectors associated with the larger singular values decomposed from the middle layer features exhibit superior generalization and attention properties. Specifically, we conduct the attack by retaining the decomposed Top-1 singular value-associated feature for computing the output logits, which are then combined with the original logits to optimize adversarial examples. Our extensive experimental results verify the effectiveness of our proposed method, which can be easily integrated into various baselines to significantly enhance the transferability of adversarial samples for disturbing normally trained CNNs and advanced defense strategies. The source code of this study is available at \textcolor{blue}{\href{https://anonymous.4open.science/r/SVD-SSA-13BF/README.md}{Link}}.

arxiv情報

提供元, 利用サービス

arxiv.jp, OpenAI