エネルギー攻撃:敵対的な例の転送について
Energy Attack: On Transferring Adversarial Examples
この作業では、転送ベースのブラックボックスL_∞-敵対的攻撃であるエネルギー攻撃を提案します。攻撃はパラメータフリーであり、勾配近似を必要としません。特に、最初に代理モデルのホワイトボックスの敵対的摂動を取得し、これらの摂動を小さなパッチに分割します。次に、主成分分析(PCA)を使用して、これらのパッチの単位成分ベクトルと固有値を抽出します。固有値に基づいて、敵対的な摂動のエネルギー分布をモデル化できます。次に、エネルギー分布に従って摂動パッチからサンプリングし、サンプリングされたパッチをタイリングしてフルサイズの敵対的摂動を形成することにより、ブラックボックス攻撃を実行します。これは、被害者モデルへのアクセスがなくても実行できます。広範な実験は、提案されたエネルギー攻撃がさまざまなモデルといくつかのデータセットに対するブラックボックス攻撃で最先端のパフォーマンスを達成することをよく示しています。さらに、抽出された分布は、異なるモデルアーキテクチャおよび異なるデータセット間で転送できるため、ビジョンアーキテクチャに固有のものです。
In this work we propose Energy Attack, a transfer-based black-box L_∞-adversarial attack. The attack is parameter-free and does not require gradient approximation. In particular, we first obtain white-box adversarial perturbations of a surrogate model and divide these perturbations into small patches. Then we extract the unit component vectors and eigenvalues of these patches with principal component analysis (PCA). Base on the eigenvalues, we can model the energy distribution of adversarial perturbations. We then perform black-box attacks by sampling from the perturbation patches according to their energy distribution, and tiling the sampled patches to form a full-size adversarial perturbation. This can be done without the available access to victim models. Extensive experiments well demonstrate that the proposed Energy Attack achieves state-of-the-art performance in black-box attacks on various models and several datasets. Moreover, the extracted distribution is able to transfer among different model architectures and different datasets, and is therefore intrinsic to vision architectures.
updated: Thu Sep 09 2021 14:23:48 GMT+0000 (UTC)
published: Thu Sep 09 2021 14:23:48 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト