Improving Adversarial Transferability via Intermediate-level Perturbation Decay

要約

敵対的な方向に従って特徴表現を混乱させようとする中間レベルの攻撃は、転送可能な敵対的な例を作成する際に有利なパフォーマンスを示しています。
このカテゴリの既存の方法は通常、2 つの別々の段階で定式化されます。最初に方向ガイドを決定する必要があり、その後、方向ガイドへの中間レベルの摂動のスカラー射影が拡大されます。
得られた摂動は特徴空間内で必然的にガイドから逸脱し、そのような逸脱が次善の攻撃につながる可能性があることが本論文で明らかになりました。
この問題に対処するために、単一の最適化段階内で敵対的な例を作成する新しい中間レベルの手法を開発します。
特に、中間レベル摂動減衰 (ILPD) と呼ばれる提案された方法は、中間レベル摂動が効果的に敵対的な方向になり、同時に大きな大きさを持つように促します。
徹底的な議論により、私たちの方法の有効性が検証されます。
実験結果は、ImageNet (平均 +10.07%) および CIFAR-10 (平均 +3.88%) 上のさまざまな被害者モデルへの攻撃において、最先端技術を大幅に上回っていることを示しています。
私たちのコードは https://github.com/qizhangli/ILPD-attach にあります。

要約(オリジナル)

Intermediate-level attacks that attempt to perturb feature representations following an adversarial direction drastically have shown favorable performance in crafting transferable adversarial examples. Existing methods in this category are normally formulated with two separate stages, where a directional guide is required to be determined at first and the scalar projection of the intermediate-level perturbation onto the directional guide is enlarged thereafter. The obtained perturbation deviates from the guide inevitably in the feature space, and it is revealed in this paper that such a deviation may lead to sub-optimal attack. To address this issue, we develop a novel intermediate-level method that crafts adversarial examples within a single stage of optimization. In particular, the proposed method, named intermediate-level perturbation decay (ILPD), encourages the intermediate-level perturbation to be in an effective adversarial direction and to possess a great magnitude simultaneously. In-depth discussion verifies the effectiveness of our method. Experimental results show that it outperforms state-of-the-arts by large margins in attacking various victim models on ImageNet (+10.07% on average) and CIFAR-10 (+3.88% on average). Our code is at https://github.com/qizhangli/ILPD-attack.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google