Two Heads Are Better Than One: Averaging along Fine-Tuning to Improve Targeted Transferability

要約

最適化にかかる時間は非標的型攻撃よりもはるかに長いにもかかわらず、標的型攻撃の伝達可能性は依然として満足できるものではありません。
最近の研究では、特徴空間内で既存の敵対的例 (AE) を微調整することで、ターゲットの転送可能性を効率的に高めることができることが明らかになりました。
ただし、既存の微調整スキームはエンドポイントのみを利用し、微調整軌跡内の貴重な情報を無視します。
バニラの微調整軌道が損失曲面の平らな領域の周囲で振動する傾向があることに注目して、微調整軌道を平均化して、細工された AE をより中心の領域に引き寄せることを提案します。
提案された手法を、さまざまな攻撃シナリオにおける最先端の標的型攻撃と統合することにより、既存の微調整スキームと比較します。
実験結果は、ターゲットの転写性を向上させる上で提案された方法の優位性を裏付けています。
コードは github.com/zengh5/Avg_FT で入手できます。

要約(オリジナル)

With much longer optimization time than that of untargeted attacks notwithstanding, the transferability of targeted attacks is still far from satisfactory. Recent studies reveal that fine-tuning an existing adversarial example (AE) in feature space can efficiently boost its targeted transferability. However, existing fine-tuning schemes only utilize the endpoint and ignore the valuable information in the fine-tuning trajectory. Noting that the vanilla fine-tuning trajectory tends to oscillate around the periphery of a flat region of the loss surface, we propose averaging over the fine-tuning trajectory to pull the crafted AE towards a more centered region. We compare the proposed method with existing fine-tuning schemes by integrating them with state-of-the-art targeted attacks in various attacking scenarios. Experimental results uphold the superiority of the proposed method in boosting targeted transferability. The code is available at github.com/zengh5/Avg_FT.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google