代替モデルをよりベイジアンにすることで、敵対的な例の転送可能性を高めることができます
Making Substitute Models More Bayesian Can Enhance Transferability of Adversarial Examples
ディープ ニューラル ネットワーク (DNN) を介した敵対的な例の転送可能性は、多くのブラック ボックス攻撃の核心です。いくつかの代替モデルの入力の多様性を高めることにより、転送可能性を改善するために多くのこれまでの努力が注がれてきました。対照的に、この論文では、代替モデルの多様性を選択し、望ましい転送可能性を達成するためにベイジアン モデルを攻撃することを提唱します。ベイズの定式化から派生して、可能な微調整のための原則に基づいた戦略を開発します。これは、DNNパラメーターに対する多くの既製のガウス事後近似と組み合わせることができます。私たちの方法の有効性を検証するために、一般的なベンチマーク データセットで広範な実験が行われました。結果は、私たちの方法が最近の最先端技術よりも大幅に優れていることを示しています (ImageNet での平均攻撃成功率の約 19% 絶対増加)。 )、およびこれらの最近の方法と組み合わせることで、さらなるパフォーマンスの向上を得ることができます。私たちのコード: https://github.com/qizhangli/MoreBayesian-attack.
The transferability of adversarial examples across deep neural networks (DNNs) is the crux of many black-box attacks. Many prior efforts have been devoted to improving the transferability via increasing the diversity in inputs of some substitute models. In this paper, by contrast, we opt for the diversity in substitute models and advocate to attack a Bayesian model for achieving desirable transferability. Deriving from the Bayesian formulation, we develop a principled strategy for possible finetuning, which can be combined with many off-the-shelf Gaussian posterior approximations over DNN parameters. Extensive experiments have been conducted to verify the effectiveness of our method, on common benchmark datasets, and the results demonstrate that our method outperforms recent state-of-the-arts by large margins (roughly 19% absolute increase in average attack success rate on ImageNet), and, by combining with these recent methods, further performance gain can be obtained. Our code: https://github.com/qizhangli/MoreBayesian-attack.
updated: Wed Jul 19 2023 07:31:35 GMT+0000 (UTC)
published: Fri Feb 10 2023 07:08:13 GMT+0000 (UTC)
参考文献 (このサイトで利用可能なもの) / References (only if available on this site)
被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)
Amazon.co.jpアソシエイト