On the Adversarial Transferability of Generalized ‘Skip Connections’

要約

スキップ接続は、最新のディープ モデルをより深く、より強力にするために不可欠な要素です。
通常のシナリオ (自然な例に対する最先端の分類パフォーマンス) では大成功を収めているにもかかわらず、敵対的シナリオにおけるスキップ接続の興味深い特性を調査し、特定しました。つまり、スキップ接続を使用すると、転送性の高い敵対的シナリオを簡単に生成できるということです。
例。
具体的には、ResNet のようなモデル (スキップ接続を使用) では、バックプロパゲーション中の減衰係数に応じて残差モジュールではなくスキップ接続からの勾配を多く使用することで、高い伝達性を備えた敵対的なサンプルを作成できることがわかりました。
上記の方法はスキップ勾配法 (SGM) と呼ばれます。
ビジョン ドメインの ResNet のようなモデルから出発していますが、SGM をさらに拡張し、ビジョン トランスフォーマー (ViT) や長さが変化するパスを持つモデルや他のドメイン (自然言語処理など) を含む、より高度なアーキテクチャに拡張します。
ResNets、Transformers、Inceptions、Neural Architecture Search、Large Language Model (LLM) などのさまざまなモデルに対して包括的な転送攻撃を実行します。
SGM を採用すると、ほぼすべてのケースで、巧妙に作られた攻撃の伝達可能性が大幅に向上することがわかります。
さらに、実際の使用には大きな複雑性があることを考慮して、SGM がモデルのアンサンブルや標的型攻撃での転送性や現在の防御に対するステルス性も向上できることをさらに実証します。
最後に、SGM がどのように機能するかについて理論的な説明と経験的な洞察を提供します。
私たちの発見は、モデルのアーキテクチャ特性についての新たな敵対的研究の動機となるだけでなく、安全なモデル アーキテクチャ設計に対するさらなる課題を切り開くものでもあります。
コードは https://github.com/mo666666/SGM で入手できます。

要約(オリジナル)

Skip connection is an essential ingredient for modern deep models to be deeper and more powerful. Despite their huge success in normal scenarios (state-of-the-art classification performance on natural examples), we investigate and identify an interesting property of skip connections under adversarial scenarios, namely, the use of skip connections allows easier generation of highly transferable adversarial examples. Specifically, in ResNet-like models (with skip connections), we find that using more gradients from the skip connections rather than the residual modules according to a decay factor during backpropagation allows one to craft adversarial examples with high transferability. The above method is termed as Skip Gradient Method (SGM). Although starting from ResNet-like models in vision domains, we further extend SGM to more advanced architectures, including Vision Transformers (ViTs) and models with length-varying paths and other domains, i.e. natural language processing. We conduct comprehensive transfer attacks against various models including ResNets, Transformers, Inceptions, Neural Architecture Search, and Large Language Models (LLMs). We show that employing SGM can greatly improve the transferability of crafted attacks in almost all cases. Furthermore, considering the big complexity for practical use, we further demonstrate that SGM can even improve the transferability on ensembles of models or targeted attacks and the stealthiness against current defenses. At last, we provide theoretical explanations and empirical insights on how SGM works. Our findings not only motivate new adversarial research into the architectural characteristics of models but also open up further challenges for secure model architecture design. Our code is available at https://github.com/mo666666/SGM.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google