Fugu-MT 論文翻訳(概要): Patch-wise++ Perturbation for Adversarial Targeted Attacks

論文の概要: Patch-wise++ Perturbation for Adversarial Targeted Attacks

arxiv url: http://arxiv.org/abs/2012.15503v2
Date: Thu, 7 Jan 2021 07:34:21 GMT
ステータス: 処理完了
システム内更新日: 2021-04-17 17:07:50.061607
Title: Patch-wise++ Perturbation for Adversarial Targeted Attacks
Title（参考訳）: 敵攻撃に対するパッチワイズ++摂動
Authors: Lianli Gao, Qilong Zhang, Jingkuan Song and Heng Tao Shen
Abstract要約: トランスファビリティの高い対比例の作成を目的としたパッチワイズ反復法(PIM)を提案する。具体的には、各イテレーションのステップサイズに増幅係数を導入し、$epsilon$-constraintをオーバーフローする1ピクセルの全体的な勾配が、その周辺領域に適切に割り当てられる。現在の攻撃方法と比較して、防御モデルでは35.9%、通常訓練されたモデルでは32.7%、成功率を大幅に向上させた。
参考スコア（独自算出の注目度）: 132.58673733817838
License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
Abstract: Although great progress has been made on adversarial attacks for deep neural networks (DNNs), their transferability is still unsatisfactory, especially for targeted attacks. There are two problems behind that have been long overlooked: 1) the conventional setting of $T$ iterations with the step size of $\epsilon/T$ to comply with the $\epsilon$-constraint. In this case, most of the pixels are allowed to add very small noise, much less than $\epsilon$; and 2) usually manipulating pixel-wise noise. However, features of a pixel extracted by DNNs are influenced by its surrounding regions, and different DNNs generally focus on different discriminative regions in recognition. To tackle these issues, we propose a patch-wise iterative method (PIM) aimed at crafting adversarial examples with high transferability. Specifically, we introduce an amplification factor to the step size in each iteration, and one pixel's overall gradient overflowing the $\epsilon$-constraint is properly assigned to its surrounding regions by a project kernel. But targeted attacks aim to push the adversarial examples into the territory of a specific class, and the amplification factor may lead to underfitting. Thus, we introduce the temperature and propose a patch-wise++ iterative method (PIM++) to further improve transferability without significantly sacrificing the performance of the white-box attack. Our method can be generally integrated to any gradient-based attack method. Compared with the current state-of-the-art attack methods, we significantly improve the success rate by 35.9\% for defense models and 32.7\% for normally trained models on average.
Abstract（参考訳）: ディープ・ニューラル・ネットワーク(dnn)の敵対的攻撃では大きな進歩を遂げているが、特に標的攻撃においては、その移動性は依然として不十分である。 1) ステップサイズが$\epsilon/t$であるt$イテレーションを$\epsilon$-constraintに準拠させるように設定する。この場合、ほとんどのピクセルは、非常に小さなノイズを付加することができ、$\epsilon$ 以下である。しかし、DNNが抽出した画素の特徴はその周辺地域の影響を受けており、異なるDNNは認識において一般的に異なる識別領域に焦点を当てている。これらの課題に対処するために,高い伝達性を有する逆例を作成することを目的としたパッチワイド反復法(PIM)を提案する。具体的には、各イテレーションのステップサイズに増幅係数を導入し、$\epsilon$-constraintをオーバーフローする1ピクセルの全体的な勾配が、プロジェクトカーネルによってその周辺領域に適切に割り当てられる。しかし、攻撃対象は、敵の例を特定のクラスの領域に押し込むことであり、増幅要因が不適合につながる可能性がある。そこで本研究では,White-boxアタックの性能を著しく損なうことなく,転送性を向上させるパッチワイズ++イテレーティブ手法(PIM++)を提案する。我々の手法は一般に任意の勾配に基づく攻撃法に統合できる。現在の攻撃方法と比較すると、防御モデルでは35.9\%、通常訓練されたモデルでは32.7\%が成功率を大幅に向上させた。

論文の概要: Patch-wise++ Perturbation for Adversarial Targeted Attacks

関連論文リスト