[论文解读] Minimally distorted Adversarial Examples with a Fast Adaptive Boundary Attack
介绍了 FAB-attack,一种白盒方法,能够高效在 l1、l2、和 linf 范数中找到最小扭曲的对抗样本,具有对比例缩放不敏感的特性以及对梯度掩蔽的强鲁棒性。
The evaluation of robustness against adversarial manipulation of neural networks-based classifiers is mainly tested with empirical attacks as methods for the exact computation, even when available, do not scale to large networks. We propose in this paper a new white-box adversarial attack wrt the $l_p$-norms for $p \in \{1,2,\infty\}$ aiming at finding the minimal perturbation necessary to change the class of a given input. It has an intuitive geometric meaning, yields quickly high quality results, minimizes the size of the perturbation (so that it returns the robust accuracy at every threshold with a single run). It performs better or similar to state-of-the-art attacks which are partially specialized to one $l_p$-norm, and is robust to the phenomenon of gradient masking.
研究动机与目标
- 推动对抗扰动下分类器鲁棒性的稳健评估,并最小化扰动。
- 开发一种白盒攻击,能够在 p ∈ {1,2,∞} 的情况下给出最小的 lp 范数扰动。
- 提供几乎开箱即用、可扩展的攻击,避免大量超参数调优。
- 确保该攻击对其他攻击中常见的梯度掩蔽与缩放问题具有鲁棒性。
提出的方法
- 定义相对于 l_p 范数和盒子约束的最小对抗扰动。
- 使用投影到判决超平面与盒子(C)的交集来计算精确的 p 范数投影(proj_p)。
- 按照公式(10),通过对目标超平面(pi_s)上的投影(x(i)和x_orig)的凸组合,迭代地使步骤朝向原始输入偏置。
- 从相对于判决超平面的距离计算自适应步长偏置alpha(方程9)。
- 引入外推步长(eta)以及最终搜索来收紧扰动大小(方程12-13)。
- 可选地应用随机重启以探索多个起点并提升结果。
实验结果
研究问题
- RQ1单一、可扩展的白盒攻击能否在不做每个数据集调优的情况下,在 l1、l2 和 linf 范数下实现最小的对抗扰动?
- RQ2将投影到带盒子约束的超平面并将步长偏向原始输入,是否在不同网络和防御下仍能保持攻击成功并得到更小的扰动?
- RQ3FAB-attack 对梯度掩蔽和分类器的缩放是否鲁棒?
- RQ4在 MNIST、CIFAR-10 和 Restricted ImageNet 上,与先进攻击相比,FAB 的多范数经验性能如何?
主要发现
- 在 MNIST 和 CIFAR-10 上,FAB-attack 在 l1、l2 和 linf 范数下通常优于或等同于最先进的攻击。
- FAB-attack 在梯度掩蔽下仍然有效且对分类器的缩放不变,与 PGD 不同。
- 适度重启下,FAB-attack 产生高质量对抗样本,同时使用更少的超参数且无需步长调优。
- 在 Restricted ImageNet 上,FAB-attack 在 l1 上获得最佳结果,在 linf 和 l2 上与强基线相比也具竞争力。
- FAB-attack 常常需要更少的迭代次数,同时鲁棒性指标与竞争者相比具有竞争性或更好,低预算版本(FAB-10)仍然强劲。
- 在各范数下,FAB 通常达到最佳或接近最佳的平均鲁棒准确率,并且与最佳攻击的平均/最大差异较小。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。