[论文分享]-通过输入多样性提高对抗样本的迁移性(Improving Transferability of Adversarial Examples with Input Diversity)

以下内容来自于组会论文分享，后面部分slides中比较清晰，就直接引用了。有需要slides的朋友，可关注公众号进行获取。

文中的假设部分，暂时还没结论，感兴趣的同学可以探索下。

文中的方法来自于Nips17的defence比赛中，该团队先将把比赛策略写成的文章，投中了ICLR18，可以参考另一篇文章[读论文]-通过随机操作减缓对抗攻击的影响(Mitigating Adversarial Effects Through Randomization)，把该思路用于攻击，投中了CVPR19的，真正的大佬啊。。。

论文相关信息：

The IEEE Conference on Computer Vision and Pattern Recognition (CVPR), 2019, pp. 2730-2739
作者：Cihang Xie, Zhishuai Zhang, Yuyin Zhou, Song Bai, Jianyu Wang, Zhou Ren, Alan L. Yuille – 霍普金斯大学
论文地址：https://arxiv.org/pdf/1803.06978.pdf

论文介绍：

CNN在视觉任务中已经取得了非常好的效果，但在面对对抗样本时，却显得非常脆弱。但现有的大多数对抗样本攻击方法，在黑盒攻击设置下，只能实现较低成功率。此次分享介绍了如何通过输入多样性来提高对抗样本的可移植性，产生对于白盒攻击、黑盒攻击成功率都高的对抗样本。

0. 摘要( Abstract )

• CNN在CV中已经取得了非常好的效果，但存在脆弱性；
• 目前的攻击方法针对黑盒攻击成功率不高；
• 本文通过创建diverse input patterns产生对抗样本，以此提高对抗样本的迁移能力；

• 实验效果表明，根据该方法产生的对抗样本更具迁移能力：
  • NIPS17年比赛中，使用该方法对排名靠前的防御方法和baseline进行攻击，平均成功率达到73%；
  • 比NIPS17中top1攻击方法提高了6.6%；

• 本文方法可以作为评估对抗网络鲁棒性，和防御方法有效性的baseline

1. 引言（Introduction）

• CNN因极好性能，促使其在CV中应用广泛。
  • 但在面对非常小的扰动时，CNN非常脆弱，会预测失败，存在脆弱性；
  • 研究对抗样本，能促使我们了解不同模型的鲁棒性，并理解当前这些训练算法的不足之处。
• 现有的方法分为两种：单步攻击和迭代攻击
  • 单步攻击针对白盒的效果一般，但针对黑盒攻击效果好，迁移能力强
  • 多步针对白盒攻击成功率更高，但针对黑盒攻击效果差，迁移能力差
• 原因：单步 - underfit，多步 - overfit
• 怎样产生对于白盒攻击、黑盒攻击成功率都高的对抗样本？
• 受数据增强的启发，本文通过创建diverse input patterns产生对抗样本，以此提高对抗样本的迁移能力。
• 针对I-FGSM和MI-FGSM进行改进并取得了很好的效果
  

2. 相关工作（Related Work）

3. 方法（Methodology）

4. 实验

5. 结论