DI2-FGSM (CVPR2019)
我们提出了通过构造多样性输入模式来提高对抗样本的迁移性。不仅仅用原始的图片生成对抗样本,我们的算法在每次的迭代中,引入了对于干净图片的随机变化。
Introduction:
一般来说,在白盒攻击设置中,迭代攻击比单步攻击可以获得更高的成功率,因为攻击者对网络结构和权重有完美的了解。然而,如果这些对抗性的例子在不同的网络上进行测试(无论是在网络结构、权重还是两者方面),即黑盒设置,单步攻击表现得更好。这种权衡是由于迭代攻击往往会过拟合特定的网络参数(即具有较高的白箱成功率),从而使生成的对抗性例子很少转移到其他网络(即具有较低的黑箱成功率),而单步攻击通常不拟合网络参数。
在这项工作中,我们建议通过创建不同的输入模式来提高敌对的例子的可移植性。我们的工作受到了数据增强策略的启发。
model:
DI2 -FGSM:首先,我们提出了反输入迭代快速梯度符号法(DI2-FGSM),该方法在I-FGSM每次迭代时对输入的概率为p,应用图像变换T(·),以缓解过拟合现象。在本文中,我们考虑随机调整大小,它将输入图像的大小调整为随机大小,以及随机填充,它以随机的方式在输入图像周围填充零,作为图像转换T(·)的实例化。转换概率p控制了白盒模型的成功率和黑盒模型的成功率之间的权衡。我们还实验了其他图像转换,例如,旋转或翻转,以创建不同的输入模式,并发现随机调整大小和填充会产生具有最佳可转移性的对抗性例子。
M-DI2 -FGSM:
在MI-FGSM基础上扩展:
FGSM系列关系:
攻击集成模型
Liu等人认为,同时攻击多个网络的集合可以产生更强的对抗性例子。其动机是,如果一个对抗性的图像在多个网络中仍然是对抗性的,那么它也更有可能转移到其他网络中。我们遵循在以下集成策略,它将logit激活融合在一起,同时攻击多个网络。具体来说,为了攻击K个模型的集合,对数被融合为:
其中,lk(X;θk)是参数为θk的第k个模型的对数输出,wk是具有wk≥0和w1+w2+…+wk=1的集合权值。
实验
攻击单体模型,对角线上是白盒,其他是黑盒。
还把数据增强这种方法放在其他攻击方法(C&W)上测试:
攻击集成模型:ensemble是白盒,hold-out是黑盒
此外,本文验证了Transformation probability p,Total iteration number N,Step size α三个参数的选取对实验结果的影响。