論文の概要: The Scissors Effect: When Resize-Based Input Diversity Helps or Hurts Transfer Attacks
- arxiv url: http://arxiv.org/abs/2606.22516v1
- Date: Sun, 21 Jun 2026 14:10:07 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-25 17:46:03.515078
- Title: The Scissors Effect: When Resize-Based Input Diversity Helps or Hurts Transfer Attacks
- Title(参考訳): サイザー効果: サイズに基づく入力の多様性が、転送攻撃を助ける場合
- Authors: Yuhang Jiang, Xiaojing Chen,
- Abstract要約: 頑健に訓練されたサロゲートの場合、DI確率の増加は標準サロゲートの転送成功を増大させるが、ロバストなサロゲートでは低下することを示す。
この効果はImageNet上で強く一貫性があり、盲点DIはCNN、ViT、Swin、ConvNeXtのターゲットで平均して10.3%の攻撃成功を犠牲にしている。
LGCが高い場合、多様性を無効にするトレーニングフリールール(CG-DI)は、DIの利点を標準のものに保ちながら、堅牢なサロゲートの損失を避ける。
- 参考スコア(独自算出の注目度): 8.168798436470881
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Input Diversity (DI), which applies random resizing and padding at each attack iteration, is a near-default ingredient of transfer-based adversarial attacks, widely assumed to improve transferability. We show this assumption is regime-dependent and, for robustly trained surrogates, often reversed. Varying only the surrogate, increasing the DI probability raises transfer success for standard surrogates but lowers it for robust ones: the two response curves separate like a pair of scissors, a pattern we call the Scissors Effect. The effect is strong and consistent on ImageNet, where blind DI costs the robust source 10.3% attack success on average across CNN, ViT, Swin, and ConvNeXt targets and across ten attacks spanning 2018-2024; it is smaller on CIFAR-10 unless DI is made aggressive. A controlled robustness-strength sweep that varies only the training budget shows the harm is graded rather than binary, crossing from beneficial to harmful already in the little-robustness regime. We trace it to gradient geometry: a resize/translation decomposition attributes roughly 67% of the harm to resize, and a direct source-target gradient-alignment measurement confirms the same resize operation improves alignment for standard surrogates but degrades it for robust ones. We summarize the regime with Local Gradient Consistency (LGC), a single input-space probe that separates the two surrogate types, and prove a bias-variance crossover theorem isolating where DI helps from where its resize bias dominates. A training-free rule (CG-DI) that disables diversity when LGC is high avoids the loss on robust surrogates while keeping DI's benefit on standard ones, positioning the Scissors Effect as a DI-specific manifestation of the broader robustness-transferability trade-off.
- Abstract(参考訳): 入力多様性(DI)は、各攻撃繰り返しでランダムなリサイズとパディングを適用し、転送ベースの敵攻撃のほぼデフォルトの要素であり、転送可能性を改善することが広く想定されている。
この仮定は体制に依存しており、堅牢に訓練された代理車に対しては、しばしば逆転する。
2つの反応曲線は1対のハサミのように分離され、このパターンはシザー効果(英語版)と呼ばれる。
この効果はImageNet上で強く一貫性があり、盲目のDIはCNN、ViT、Swin、ConvNeXtで平均10.3%の攻撃成功を犠牲にしている。
訓練予算だけを変える制御された頑丈さと強靭さは、損傷が二進法よりも格付けされ、ほとんど損なわれない体制で既に有益から有害に渡っていることを示している。
再サイズ/翻訳分解分解は、再サイズに対する害の約67%を占め、直接的ソース目標勾配配向測定により、標準サロゲートのアライメントを改善するが、ロバストなサロゲートに対して分解する。
本稿では,2つのサロゲート型を分離する単一入力空間プローブであるローカル・グラディエント・コンシステンシー (LGC) と,DI がリサイズバイアスが支配する場所でのバイアス分散クロスオーバー定理の独立性を証明する。
LGCが高い場合、多様性を無効にする訓練自由規則(CG-DI)は、Scisors Effectを、より広範な堅牢性-透過性トレードオフのDI固有の表示として位置づけながら、標準のDIの利益を維持しながら、ロバストなサロゲートの損失を回避する。
関連論文リスト
- Le Cam Distortion: A Decision-Theoretic Framework for Robust Transfer Learning [0.0]
模擬性に基づく移動リスク条件の厳密な上限としてLe Cam Distortionを導入する。
我々のフレームワークは、ソースからターゲットをシミュレートするカーネルを学習することで、ソースの劣化なしに転送を可能にする。
Le Cam Distortionは、負の転送が受け入れられないドメインにおいて、リスク制御された転送学習のための最初の原則化されたフレームワークを提供する。
論文 参考訳(メタデータ) (2025-12-29T17:21:44Z) - Seed-Induced Uniqueness in Transformer Models: Subspace Alignment Governs Subliminal Transfer [0.3805935148497361]
教師が生徒が線形に復号化できる隠された特徴を埋め込むトランスフォーマーモデルにおけるサブリミナルトランスファーの分析を行う。
伝達強度は特性識別部分空間内のアライメントに比例する。
論文 参考訳(メタデータ) (2025-11-02T17:34:43Z) - Advancing Generalized Transfer Attack with Initialization Derived Bilevel Optimization and Dynamic Sequence Truncation [49.480978190805125]
転送攻撃はブラックボックスアプリケーションに大きな関心を惹きつける。
既存の作業は、本質的に単一のレベルの目的 w.r.t. シュロゲートモデルを直接最適化する。
本稿では,上位レベル(UL)と下位レベル(LL)のサロゲート攻撃とのネスト関係を明示的に再構築する2レベル最適化手法を提案する。
論文 参考訳(メタデータ) (2024-06-04T07:45:27Z) - LRS: Enhancing Adversarial Transferability through Lipschitz Regularized
Surrogate [8.248964912483912]
敵の例の転送性は、転送ベースのブラックボックス敵攻撃において重要である。
転送ベースブラックボックス攻撃に対するLipschitz Regularized Surrogate (LRS)を提案する。
我々は、最先端のディープニューラルネットワークとディフェンスモデルを攻撃することで、提案したLSSアプローチを評価する。
論文 参考訳(メタデータ) (2023-12-20T15:37:50Z) - Logit Margin Matters: Improving Transferable Targeted Adversarial Attack
by Logit Calibration [85.71545080119026]
クロスエントロピー(CE)損失関数は、伝達可能な標的対向例を学習するには不十分である。
本稿では,ロジットを温度係数と適応マージンでダウンスケールすることで,ロジットのキャリブレーションを簡易かつ効果的に行う2つの手法を提案する。
ImageNetデータセットを用いて実験を行い,提案手法の有効性を検証した。
論文 参考訳(メタデータ) (2023-03-07T06:42:52Z) - On Trace of PGD-Like Adversarial Attacks [77.75152218980605]
敵対的攻撃は、ディープラーニングアプリケーションに対する安全性とセキュリティ上の懸念を引き起こす。
モデルの勾配一貫性を反映した適応応答特性(ARC)特性を構築する。
私たちの方法は直感的で、軽量で、非侵襲的で、データ不要です。
論文 参考訳(メタデータ) (2022-05-19T14:26:50Z) - Orthogonal Jacobian Regularization for Unsupervised Disentanglement in
Image Generation [64.92152574895111]
直交ジャコビアン正規化法(OroJaR)を提案する。
提案手法は, 絡み合った, 制御可能な画像生成に有効であり, 最先端の手法に対して好適に機能する。
論文 参考訳(メタデータ) (2021-08-17T15:01:46Z) - Adaptive Feature Alignment for Adversarial Training [56.17654691470554]
CNNは通常、敵攻撃に対して脆弱であり、セキュリティに敏感なアプリケーションに脅威をもたらす。
任意の攻撃強度の特徴を生成するための適応的特徴アライメント(AFA)を提案する。
本手法は任意の攻撃強度の特徴を自動的に整列するように訓練されている。
論文 参考訳(メタデータ) (2021-05-31T17:01:05Z) - Optimal Transport as a Defense Against Adversarial Attacks [4.6193503399184275]
敵対的攻撃は、訓練されたモデルを誤解させる画像に対して、人間の知覚できない摂動を見つけることができる。
従来の研究は、原画像と敵対画像の整合性をドメイン適応と同等に調整し、堅牢性を向上させることを目的としていた。
地上距離を忠実に反映した分布間の損失を用いることを提案する。
これによりSAT (Sinkhorn Adversarial Training) は敵の攻撃に対してより堅牢な防衛を行う。
論文 参考訳(メタデータ) (2021-02-05T13:24:36Z) - Imbalanced Gradients: A Subtle Cause of Overestimated Adversarial
Robustness [75.30116479840619]
本稿では,不均衡勾配という,過度に推定された敵の強靭性も引き起こす,より微妙な状況を特定する。
不均衡勾配の現象は、マージン損失の一項の勾配が支配的となり、攻撃を準最適方向に押し上げるときに起こる。
本稿では、マージン分解攻撃(MD)について、個々の項にマージン損失を分解し、これらの項の攻撃可能性について個別に検討する。
論文 参考訳(メタデータ) (2020-06-24T13:41:37Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。