本文提出一种新方法来生成攻击模型的对抗样本,该方法结合了平稳局部区域和梯度规范化来获得更好的迁移性,实验结果在 ImageNet 兼容数据集上表明此方法比现有的攻击方法能够更好地提高模型的迁移性。
Jun, 2023
本文系统研究了影响对抗样本传递性的两类因素,包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解,提出了一种简单而有效的策略来增强传递性,称为方差降低攻击,因为它利用方差降低梯度来生成对抗样本,实验结果表明其有效性。
Feb, 2018
通过对现有对抗性攻击的仔细研究,我们提出了一系列技巧来增强对抗性传递性,包括动量初始化、计划的步长、双重示例、基于频谱的输入变换和几种集成策略。在 ImageNet 数据集上的大量实验验证了我们提出的技巧的高效性,并表明结合它们可以进一步增强对抗性传递性。我们的工作提供了实用的见解和技术,以增强对抗性传递性,并通过简单的调整指导提高对现实世界应用的攻击性能。
Jan, 2024
本文提出了 Adversarial Lightness Attack (ALA) 方法,通过非限制性编码生成高质量图像的无限制对抗样本,该方法在 ImageNet(图像分类)和 Places-365(场景分类)数据集上实现了强大的可转移性和高质量图像的生成。
Jan, 2022
本研究调查了不同模型之间的对抗样本的可传递性,研究表明梯度之间的夹角是影响对抗样本可传递性的根本因素,并给出了一种可以降低模型间对抗样本可传递性的改进简单训练方法。
Apr, 2019
采用梯度修正的方法,可进一步提高对抗性转移性,通过对多个转换引入的无用梯度进行修正,我们的方法在 ImageNet 数据集上可以实现 82.07%的平均转移成功率,在单模型设置下胜过其他最先进的方法的平均 6.0%,并且我们已将所提出的方法应用于由阿里巴巴组织的 CVPR 2021 ImageNet 无限制对抗攻击比赛中,攻击成功率在 1558 支队伍中排名第二。
May, 2021
本文提出测量对抗样本空间维度的新方法,发现对抗性子空间在很大的维度上相互重叠并且共享在不同模型之间,通过探究模型决策边界的相似性和转移攻击的局限性,本文表明可能存在抵抗传输攻击的防御方法。
Apr, 2017
本文提出了一种翻译不变攻击方法,该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例,并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性,并证明该攻击技术的存在不安全性。
通过建立新的评估准则,我们在 ImageNet 上对 23 种典型攻击与 9 种代表性防御进行了首次大规模的可传递对抗样本评估,发现既有的评估存在误导性结论和遗漏点,从而阻碍了该领域的实际进展评估。
Oct, 2023
该研究旨在提高对抗转移性能,在理论和实验的基础上设计了一种称为 Admix 的输入变换攻击方法,该方法能够利用附加图像集合进行攻击并优于现有方法。
Jan, 2021