LRS: Enhancing Adversarial Transferability through Lipschitz Regularized Surrogate

要約

敵対的サンプルの転送可能性は、転送ベースのブラックボックス敵対的攻撃にとって非常に重要です。
転送可能な敵対的サンプルを生成するためのこれまでの研究は、\emph{given} の事前学習済みサロゲート モデルの攻撃に焦点を当てており、サロゲート モデルと敵対的転送可能性の間の関連性は無視されてきました。
この論文では、転送ベースのブラックボックス攻撃のための {\em Lipschitz Regularized Surrogate} (LRS) を提案します。これは、サロゲート モデルを有利な敵対的転送可能性へと変換する新しいアプローチです。
このように変換されたサロゲート モデルを使用すると、既存の転送ベースのブラック ボックス攻撃を変更せずに実行でき、さらに優れたパフォーマンスを実現できます。
具体的には、サロゲートモデルの損失状況にリプシッツ正則化を課し、より転送可能な敵対的な例を生成するための、よりスムーズでより制御された最適化プロセスを可能にします。
さらに、この論文では、サロゲート モデルの内部特性と敵対的伝達可能性の間の関係にも光を当てており、局所的なリプシッツ定数が小さい、損失ランドスケープが滑らかである、敵対的堅牢性が強いという 3 つの要因が特定されています。
私たちは、最先端の標準ディープ ニューラル ネットワークと防御モデルを攻撃することで、提案した LRS アプローチを評価します。
結果は、攻撃の成功率と転送可能性が大幅に向上していることを示しています。
私たちのコードは https://github.com/TrustAIoT/LRS で入手できます。

要約(オリジナル)

The transferability of adversarial examples is of central importance to transfer-based black-box adversarial attacks. Previous works for generating transferable adversarial examples focus on attacking \emph{given} pretrained surrogate models while the connections between surrogate models and adversarial trasferability have been overlooked. In this paper, we propose {\em Lipschitz Regularized Surrogate} (LRS) for transfer-based black-box attacks, a novel approach that transforms surrogate models towards favorable adversarial transferability. Using such transformed surrogate models, any existing transfer-based black-box attack can run without any change, yet achieving much better performance. Specifically, we impose Lipschitz regularization on the loss landscape of surrogate models to enable a smoother and more controlled optimization process for generating more transferable adversarial examples. In addition, this paper also sheds light on the connection between the inner properties of surrogate models and adversarial transferability, where three factors are identified: smaller local Lipschitz constant, smoother loss landscape, and stronger adversarial robustness. We evaluate our proposed LRS approach by attacking state-of-the-art standard deep neural networks and defense models. The results demonstrate significant improvement on the attack success rates and transferability. Our code is available at https://github.com/TrustAIoT/LRS.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google