[论文解读] Improving Transferability of Adversarial Examples with Input Diversity
本文提出在迭代攻击中引入输入多样性(随机变换)以提升对抗样本的可转移性,并通过动量和集成攻击进一步增强,在 ImageNet 上实现较高的黑盒成功率。
Though CNNs have achieved the state-of-the-art performance on various vision tasks, they are vulnerable to adversarial examples --- crafted by adding human-imperceptible perturbations to clean images. However, most of the existing adversarial attacks only achieve relatively low success rates under the challenging black-box setting, where the attackers have no knowledge of the model structure and parameters. To this end, we propose to improve the transferability of adversarial examples by creating diverse input patterns. Instead of only using the original images to generate adversarial examples, our method applies random transformations to the input images at each iteration. Extensive experiments on ImageNet show that the proposed attack method can generate adversarial examples that transfer much better to different networks than existing baselines. By evaluating our method against top defense solutions and official baselines from NIPS 2017 adversarial competition, the enhanced attack reaches an average success rate of 73.0%, which outperforms the top-1 attack submission in the NIPS competition by a large margin of 6.6%. We hope that our proposed attack strategy can serve as a strong benchmark baseline for evaluating the robustness of networks to adversaries and the effectiveness of different defense methods in the future. Code is available at https://github.com/cihangxie/DI-2-FGSM.
研究动机与目标
- 理解为何迭代攻击对白盒模型过拟合,以及输入变换如何提升可转移性。
- 在攻击迭代中应用随机变换,提出多样输入攻击(DI2-FGSM)。
- 将输入多样性与动量(M-DI2-FGSM)及集成攻击结合,以最大化黑盒可转移性。
- 在 ImageNet 及 NIPS 2017 Adversarial Competition 的强防御和顶尖基线下评估所提攻击。
提出的方法
- 通过在基于 FGSM 的迭代攻击中以概率 p 对输入应用随机、可微的变换来定义多样输入模式攻击。
- 使用随机缩放和随机填充作为 T(·) 变换以保留标签。
- 将动量引入梯度更新,形成 MI-FGSM 与 M-DI2-FGSM。
- 通过融合 logits 对一个网络集合进行攻击,以优化共享的对抗扰动。
- 提供关于 p、N、α 的消融研究,以理解白盒与黑盒性能之间的权衡。
- 证明在七个网络及 NIPS 2017 竞赛中,M-DI2-FGSM 相较基线具有更高的黑盒成功率。
实验结果
研究问题
- RQ1在攻击迭代过程中进行输入变换是否能提升对未见模型的对抗样本可转移性?
- RQ2将输入多样性与动量结合对白盒与黑盒成功率有何影响?
- RQ3对一个模型集合进行攻击是否能进一步提升对留出网络的可转移性?
- RQ4变换概率与迭代设置对攻击有效性的实际影响是什么?
主要发现
- DI2-FGSM 及其带动量的变体 M-DI2-FGSM 相较于传统的 I-FGSM 与 MI-FGSM,在 ImageNet 上显著提升对黑盒模型的可转移性。
- M-DI2-FGSM 在七个网络上的平均可转移性更高,例如对 IncRes-v2(白盒)攻击 Inc-v4 时的可转移性为 67.4%,并在黑盒模型上取得显著提升。
- 在单网络设定中,M-DI2-FGSM 在大多数黑盒目标上优于基线,如从 Res-152(黑盒 Inc-v3)迁移到 Inc-v3 达到 53.8% 等显著提升。
- 对六个网络进行集成并应用 M-DI2-FGSM 显示出强的可转移性,例如在 ens3 hold-out 的 Inc-v3 上最高达到 44.6%。
- 在 NIPS 2017 Adversarial Competition 基准中,M-DI2-FGSM 的平均成功率为 73.0%,领先最高提交方案 6.6 个百分点。
- 消融研究显示较大的 p 值可提高黑盒成功率,但可能降低白盒性能,更多迭代数 N 通常提升可转移性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。