[读论文]通过中间层攻击提高对抗样本的迁移性(Enhancing Adversarial Example Transferability with an ILA)

内容来源于论文：Enhancing Adversarial Example Transferability with an Intermediate Level Attack，发表在11月初的ICCV 2019会议上。

论文地址：Enhancing Adversarial Example Transferability with an Intermediate Level Attack
完整论文：arxiv.org/pdf/1907.10823.pdf
代码地址：github.com/CUVL/Intermediate-Level-Attack

文章主要分为以下几部分：

• 摘要( Abstract )
• 引言（Introduction）
• 背景&相关工作（Background and Related Work）
• 方法（Approach）
• 结果（Results）
• 解释ILE有效性（Explaining the Effectiveness of Intermediate Layer Emphasis）
• 结论（Conclusions）

介绍：
本文主要介绍了ILA这种中间层攻击的方法，方法比较简单，证明部分比较麻烦，也比较难懂。之前的文章都是使用某一个神经网络模型的最终输出，然后求得loss，再进行FGSM等运算。

本文的创新就在于，ILA算法是基于某一个攻击方法(eg: I-FGSM)生成的对抗样本作为baseline，针对baseline的对抗样本利用文章中提到的ILA算法，对对抗样本进行轻微改动。改动方法是直接利用对抗样本再次输入到神经网络中，针对神经网络的中间层的输出结果采用本文提到ILA方法，产生新的对抗样本。经过该方法获得的对抗样本，迁移性更高。

ILA算法的核心为：

这里的Loss有两个来源，ILAP和ILAF。

ILAP中，实际上是 $\Delta y_l^{\prime \prime }$ 向 $\Delta y_l^{\prime }$投影，是朝着$\Delta y_l^{\prime }$进行改变的。ILAF中分为两部分，$\alpha \cdot \frac{{\Vert \Delta y_l^{\prime \prime }\Vert }_2}{{\Vert \Delta y_l^{\prime }\Vert }_2}$ 和 $\frac{\Delta y_l^{\prime \prime }}{{\Vert \Delta y_l^{\prime \prime }\Vert }_2}\cdot \frac{\Delta y_l^{\prime }}{{\Vert \Delta y_l^{\prime }\Vert }_2}$。 $\frac{{\Vert \Delta y_l^{\prime \prime }\Vert }_2}{{\Vert \Delta y_l^{\prime }\Vert }_2}$ 是$\Delta y_l^{\prime \prime }$ 和 $\Delta y_l^{\prime }$的比值，是一个数；$\frac{\Delta y_l^{\prime \prime }}{{\Vert \Delta y_l^{\prime \prime }\Vert }_2}\cdot \frac{\Delta y_l^{\prime }}{{\Vert \Delta y_l^{\prime }\Vert }_2}$是两个单位向量，为扰动指明了方向。

【 结论】
ILA可以和I-FGSM、MI-FGSM、M-DI2-FGSM等方法结合。但不便于结合ensemble方法，主要体现在需要求得每一个模型的最佳的layer，再确定模型的比例。

下面是看文章后自己总结制作的slide：