【迁移攻击笔记】数据集の变化→提高迁移率！Improving Transferability of Adversarial Examples with Input Diversity

1.作案动机

已知：
迭代攻击（eg.I-FGSM）过拟合且易陷入局部最优，不适合迁移。
单步攻击（eg.FGSM）欠拟合，不适合迁移。
对输入进行图像处理可以有效抵抗对抗攻击。
推测：
图像处理之后进行训练，提高迁移率。

2.作案手段

①先回顾FGSM和I-FGSM和MI-FGSM：



②再各将其中对x’的梯度按p的概率换成对T（x’）的梯度：



其中T定义为：
总图如下：

③攻击集成网络：
用的就是之前攻击集成网络的老套路啦，直接加权和：

3.作案结果

①p=0.5 攻击单个网络：进步很大

②也尝试了同样应用于CW攻击，效果也非常棒：

③虽然进步很大，但是对于抗干扰网络成功率还是很低（比如8.8%），因此考虑攻击集成网络：

4. 参数调整

①T概率p：
如果是全新的网络可以设p=1，未知可以设p适中。
p提高白盒下降（毕竟对白盒过拟合肯定是好的）黑盒提高。
②迭代次数N：
N提高迁移率提高，且MDII和DII之间的差距会缩小。
③步长a：
a减少迁移率提高。

5 讨论与总结

文章最后的讨论我贴在这里，大家可以看一看琢磨一下：
下面说出我自己的理解：
迁移攻击说白了就是不同网络对数据集边界的曲线相似度。在文章[Adversarial Examples Are Not Bugs, They Are Features]中验证过，实际上对抗样本是数据集自身的一些人类捕捉不到的敏感特征被网络捕捉到了而已。直观来说，把数据集随机改变大小会导致曲线在一定相似度内随机变化，比如下图：
直接迁移：可能不会成功

但是使用不同的变化后的数据集，会导致边界在一定基础上变化，会提高成功率：
不知道自己表述的好不好，希望大家可以意会我的意思叭~

希望路过这儿的你可以关注我一下~~我会定期更新一系列阅读笔记和总结，加入自己的见解和思路，希望能对你有用~