Logit Margin Matters: Improving Transferable Targeted Adversarial Attack by Logit Calibration

Juanjuan Weng; Zhiming Luo; Zhun Zhong; Shaozi Li; Nicu Sebe

ロジットマージンの問題: ロジットキャリブレーションによる転送可能な標的型敵対的攻撃の改善

以前の研究では、ターゲットを絞っていないブラックボックスシナリオにおける敵対的サンプルの転送可能性が広く研究されてきました。ただし、ターゲットを絞った敵対者の例を、ターゲットを絞っていないものよりも高い転送可能性で作成することは依然として困難です.最近の研究では、消失勾配の問題により、従来のクロスエントロピー (CE) 損失関数では、転送可能な対象となる敵対的な例を学習するには不十分であることが明らかになりました。この作業では、CE損失関数の包括的な調査を提供し、ターゲットクラスと非ターゲットクラスの間のロジットマージンがCEですぐに飽和することを発見しました。これにより、転送可能性が大幅に制限されます。したがって、この論文では、飽和の問題に対処するために最適化に沿ってロジットマージンを継続的に増加させるという目標に専念し、温度係数と適応型でロジットをダウンスケーリングすることによって達成される2つのシンプルで効果的なロジットキャリブレーション方法を提案しますマージン、それぞれ。どちらも最適化を効果的に促進して、ロジットマージンを大きくし、転送可能性を高めることができます。さらに、敵対的な例とターゲットクラスの分類子の重みの間のコサイン距離を最小化すると、転送可能性がさらに向上することが示されます。これは、L2正規化によるロジットのダウンスケーリングから恩恵を受けます。 ImageNet データセットで実施された実験により、提案された方法の有効性が検証されました。これは、ブラックボックスの標的型攻撃において最先端の方法よりも優れています。ソースコードは https://github.com/WJJLL/Target-Attack/Link で入手できます。

Previous works have extensively studied the transferability of adversarial samples in untargeted black-box scenarios. However, it still remains challenging to craft targeted adversarial examples with higher transferability than non-targeted ones. Recent studies reveal that the traditional Cross-Entropy (CE) loss function is insufficient to learn transferable targeted adversarial examples due to the issue of vanishing gradient. In this work, we provide a comprehensive investigation of the CE loss function and find that the logit margin between the targeted and untargeted classes will quickly obtain saturation in CE, which largely limits the transferability. Therefore, in this paper, we devote to the goal of continually increasing the logit margin along the optimization to deal with the saturation issue and propose two simple and effective logit calibration methods, which are achieved by downscaling the logits with a temperature factor and an adaptive margin, respectively. Both of them can effectively encourage optimization to produce a larger logit margin and lead to higher transferability. Besides, we show that minimizing the cosine distance between the adversarial examples and the classifier weights of the target class can further improve the transferability, which is benefited from downscaling logits via L2-normalization. Experiments conducted on the ImageNet dataset validate the effectiveness of the proposed methods, which outperform the state-of-the-art methods in black-box targeted attacks. The source code is available at https://github.com/WJJLL/Target-Attack/Link

updated: Tue Mar 07 2023 06:42:52 GMT+0000 (UTC)

published: Tue Mar 07 2023 06:42:52 GMT+0000 (UTC)

arXiv

参考文献 (このサイトで利用可能なもの) / References (only if available on this site)

被参照文献 (このサイトで利用可能なものを新しい順に) / Citations (only if available on this site, in order of most recent)

Amazon.co.jpアソシエイト