CVPR2021论文解读 | 通过方差调整增强对抗性攻击的可转移性

作者基于梯度迭代攻击方法加入variance tuning在输入变换以及多模型的设置下，面对9种防御方法可以达到90.1%的平均攻击成功率，将当下最好攻击效果提高了85.1%。

论文信息

会议：CVPR 2021

链接：https://arxiv.org/abs/2103.15571

解决的问题

由于白盒攻击和基于迁移的黑盒攻击在攻击性能方面仍然存在很大差距，于是在本文中，作者提出了一种称为变化（variance tuning）调整的新方法，以增强基于迭代梯度的攻击方法的类别并提高其攻击可迁移性。具体来说，在每次梯度计算的迭代中，不是直接使用当前梯度进行动量累积，而是进一步考虑前一次迭代的梯度变化来调整当前梯度，从而稳定更新方向并摆脱局部最优。关键思想是在每次迭代时减少梯度的变化，从而在搜索过程中稳定更新方向并摆脱局部最优解。

解决的方法

作者首先定义了梯度变化：

其中， 

 ， β 是个超参数， 

 是扰动上界。由于输入空间的连续性，无法直接得到前一项，因此可以采样 N 个样本来近似：

其中， 

  。在实现中，就是通往 x上加多次随机产生的扰动，然后求平均再计算变化。一般 N=20 。

总的算法如下，可以和之前的方法相结合：

实验和效果

能够提升MI和NI的效果：

能够提升sota方法的效果：

 能提升集成模型产生的对抗样本的性能：

能提升对防御模型的迁移效果：

总结和不足

这篇文章虽然中了CVPR，但是好像没有什么动机，也没有对这个梯度变化进行证明或者理论分析，只是实验得出了效果较好。在我的看法中，引入梯度变化会增加20倍的计算代价，这不太公平。

现有的迁移攻击可能会对nips那个设置过拟合的嫌疑，我复现这个以及SI-NI之后，在其他的任务上效果并不好。

作者：咫尺小厘米

｜关于深延科技｜

深延科技成立于2018年，是深兰科技（DeepBlue）旗下的子公司，以“人工智能赋能企业与行业”为使命，助力合作伙伴降低成本、提升效率并挖掘更多商业机会，进一步开拓市场，服务民生。公司推出四款平台产品——深延智能数据标注平台、深延AI开发平台、深延自动化机器学习平台、深延AI开放平台，涵盖从数据标注及处理，到模型构建，再到行业应用和解决方案的全流程服务，一站式助力企业“AI”化。