PGD-Imp: Rethinking and Unleashing Potential of Classic PGD with Dual Strategies for Imperceptible Adversarial Attacks

要約

知覚できない敵対的な攻撃は、最近、研究の関心の高まりを引き付けました。
既存のメソッドは通常、単純な$ L_P $ -NORM以外の外部モジュールまたは損失項を攻撃プロセスに組み込み、そのような追加の設計は必要ないかもしれないと主張します。
この論文では、知覚できない攻撃の本質を再考し、最適化の観点からの知覚性のために、一般的で古典的な攻撃であるPGDの可能性を解き放つための2つの単純で効果的な戦略を提案します。
具体的には、動的なステップサイズが導入され、攻撃されたモデルの決定境界に向けて攻撃コストを最小限に抑えた最適なソリューションを見つけることができ、適応型早期停止戦略が採用され、敵対的摂動の冗長性の強度が最低レベルまで採用されます。
提案されているPGDに感受性（PGD-IMP）攻撃は、標的とターゲットの両方のシナリオの両方で、認知できない敵対的攻撃で最新の結果を達成します。
ResNet-50に対して非標的攻撃を実行すると、PGD-IMPは100 $ \％$（+0.3 $ \％$）ASR、0.89（-1.76）$ l_2 $距離、52.93（+9.2）PSNRを57S（-371）実行し、既存の方法を上回ることができます。

要約(オリジナル)

Imperceptible adversarial attacks have recently attracted increasing research interests. Existing methods typically incorporate external modules or loss terms other than a simple $l_p$-norm into the attack process to achieve imperceptibility, while we argue that such additional designs may not be necessary. In this paper, we rethink the essence of imperceptible attacks and propose two simple yet effective strategies to unleash the potential of PGD, the common and classical attack, for imperceptibility from an optimization perspective. Specifically, the Dynamic Step Size is introduced to find the optimal solution with minimal attack cost towards the decision boundary of the attacked model, and the Adaptive Early Stop strategy is adopted to reduce the redundant strength of adversarial perturbations to the minimum level. The proposed PGD-Imperceptible (PGD-Imp) attack achieves state-of-the-art results in imperceptible adversarial attacks for both untargeted and targeted scenarios. When performing untargeted attacks against ResNet-50, PGD-Imp attains 100$\%$ (+0.3$\%$) ASR, 0.89 (-1.76) $l_2$ distance, and 52.93 (+9.2) PSNR with 57s (-371s) running time, significantly outperforming existing methods.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google