GE-AdvGAN: Improving the transferability of adversarial samples by gradient editing-based adversarial generative model

要約

敵対的生成ネットワーク (GAN) などの敵対的生成モデルは、画像、テキスト、音声などのさまざまな種類のデータを生成するために広く適用されています。
したがって、その有望なパフォーマンスは、ホワイト ボックスおよびブラック ボックス攻撃シナリオにおける GAN ベースの敵対的攻撃手法につながりました。
転送可能なブラックボックス攻撃の重要性は、さまざまなモデルや設定にわたって効果的であり、現実世界のアプリケーションとより密接に連携できることにあります。
ただし、そのような手法の転送可能な敵対的な例に関してパフォーマンスを維持することは依然として困難です。
一方、一部の強化された勾配ベースの転送可能な敵対的攻撃アルゴリズムでは、敵対的サンプルの生成に長時間を必要とすることが観察されています。
そこで、この研究では、アルゴリズムの効率を向上させながら、敵対的サンプルの転送可能性を高めるために、GE-AdvGAN という新しいアルゴリズムを提案します。
主なアプローチは、ジェネレーター パラメーターのトレーニング プロセスを最適化することです。
機能的および特性の類似性分析では、新しいグラディエント編集 (GE) メカニズムを導入し、さまざまなモデルで転写可能なサンプルを生成する際の実現可能性を検証します。
さらに、周波数領域情報を調査して勾配編集の方向を決定することにより、GE-AdvGAN は、最先端の転送可能な敵対的攻撃アルゴリズムと比較して実行時間を最小限に抑えながら、高度に転送可能な敵対的サンプルを生成できます。
GE-AdvGAN の性能は、さまざまなデータセットに対する大規模実験によって総合的に評価されており、その結果は私たちのアルゴリズムの優位性を示しています。
私たちのアルゴリズムのコードは、https://github.com/LMBTough/GE-advGAN から入手できます。

要約(オリジナル)

Adversarial generative models, such as Generative Adversarial Networks (GANs), are widely applied for generating various types of data, i.e., images, text, and audio. Accordingly, its promising performance has led to the GAN-based adversarial attack methods in the white-box and black-box attack scenarios. The importance of transferable black-box attacks lies in their ability to be effective across different models and settings, more closely aligning with real-world applications. However, it remains challenging to retain the performance in terms of transferable adversarial examples for such methods. Meanwhile, we observe that some enhanced gradient-based transferable adversarial attack algorithms require prolonged time for adversarial sample generation. Thus, in this work, we propose a novel algorithm named GE-AdvGAN to enhance the transferability of adversarial samples whilst improving the algorithm’s efficiency. The main approach is via optimising the training process of the generator parameters. With the functional and characteristic similarity analysis, we introduce a novel gradient editing (GE) mechanism and verify its feasibility in generating transferable samples on various models. Moreover, by exploring the frequency domain information to determine the gradient editing direction, GE-AdvGAN can generate highly transferable adversarial samples while minimizing the execution time in comparison to the state-of-the-art transferable adversarial attack algorithms. The performance of GE-AdvGAN is comprehensively evaluated by large-scale experiments on different datasets, which results demonstrate the superiority of our algorithm. The code for our algorithm is available at: https://github.com/LMBTough/GE-advGAN

arxiv情報

提供元, 利用サービス

arxiv.jp, Google