ji_meng的博客

论文概述ideamethod详细内容摘要大多数现有的对抗性攻击仅在具有挑战性的黑盒设置下取得相对较低的成功率，其中攻击者不了解模型结构和参数。为此，我们建议通过创建不同的输入模式来提高对抗性示例的可迁移性。我们的方法不是仅使用原始图像生成对抗样本，而是在每次迭代时对输入图像应用随机变换。 ImageNet 上的大量实验表明，所提出的攻击方法可以生成对抗性示例，这些示例可以比现有基线更好地转移到不同的网络1.介绍最近提出了几种方法 [11, 36, 16] 来寻找对抗样本。一般来说，这些攻击可以

摘要：以前的工作主要研究使用小规模数据集的可迁移性。在这项工作中，我们是第一个对大型模型和大规模数据集的可迁移性进行广泛研究的人，我们也是第一个研究目标对抗样本及其目标标签的可迁移性的人。我们研究了非目标对抗样本和目标对抗样本，并表明虽然可转移的非目标对抗样本很容易找到，但使用现有方法生成的目标对抗样本几乎不会随目标标签一起转移。因此，我们提出了新的基于集成的方法来生成可转移的对抗样本。1.介绍主要贡献：对于 ImageNet 模型，我们表明，虽然现有方法可以有效地生成非目标可迁移对抗样本（第 3

本文提出了一种基于**方差调整迭代梯度的方法**来增强生成对抗样本的可迁移性。具体来说，在梯度计算的每一次迭代中，不再直接使用当前梯度进行动量积累，而是进一步考虑前一次迭代的梯度方差来调整当前梯度。关键思想在于每次迭代中**减小梯度的方差，从而稳定更新方向**，这样才能避免局部最优。...

作为黑盒攻击的开篇，本文是基于迁移的黑盒攻击。由于不知道目标模型的内部结构，所以采用一个合成的数据集来训练一个本地替代模型DNN，接着采用雅可比数据增强的方式利用数据在目标模型上的输出更新数据集，再进行模型训练，以建立一个近似于oracle模型O的决策边界的模型F。Sρ+1={x⃗+λ⋅sgn(JF[O(x⃗)]):x⃗∈Sρ}∪SρS_{\rho+1}=\{ \vec{x}+\lambda \cdot sgn(J_F[O(\vec{x})]):\vec{x} \in S_{\rho} \} \cup S

今天分享的论文是来自IEEE的 Decision-Based Adversarial Attack With Frequency Mixup，首先来看一下这篇论文的motivation先来做个简单介绍吧，我们常说的对抗攻击分为黑盒攻击和白盒攻击，黑盒攻击可以分为基于迁移的攻击，和基于查询的攻击。基于查询的攻击一般依赖于替代模型，并且需要访问训练数据。基于查询的攻击还可以进一步分为基于分数的攻击和基于决策的攻击。在给定输入的情况下，目标模型计算每个可用类别的概率，并将概率最高的类别(即TOP-1概率)作为最