【迁移攻击笔记】梯度/Loss/Query都不用也可以攻击！Enhancing Cross-task 对抗Black-Box迁移 with Dispersion Reduction

亮点：

①不需要目标模型的任何访问信息就可以攻击。
②攻击方法可以跨任务：同一张图，生成的攻击对象适用于各种CV检测。更加符合实际。

核心思想：

CV大类的检测网络，往往都是捕捉特征进行判断。因此文章近似把深度网络分成俩部分：特征捕捉+仿射变换：
①特征捕捉是捕捉图片的底层特征，文中的思想是各个网络捕捉到的可能都差不多（捕捉到的特征为向量a）。
②仿射变换（=W*a）为分类信息，各个网络差异很大。

其中W可以看成（w1，w2，……）表示不同的分类参数。

之所以一个网络中把图像分类成n类，是因为在仿射变换W*a中，wn×a最大，即wn和a重合度最高（这个结论和协方差Cov有关，虽然我也没太弄明白）。至此，误分类的思路就很简单了，改变特征a的特征向量的方向，就可以使wn×a变小，同时其他的w1×a，w2×a等就会随机增大，就可能产生误分类。

最后一个问题，怎么确定特征a？
随便选个网络，输入图像，随便取差不多中间一层，输出就是特征a。
再对a进行上述操作之后，就可以攻击目标网络了。

全程不需要目标网络的参与。

当然以上攻击过程存在一个重要先验（文中表述为‘经验推理’）：所有的CV大类的网络，在底层特征a的捕捉上是基本一致的。

伪代码和核心说明部分如下：

效果：

希望路过这儿的你可以关注我一下~~我会定期更新一系列阅读笔记和总结，加入自己的见解和思路，希望能对你有用~