低秩對抗性 PGD 攻擊

本文提出了一種稱為 LoRa-PGD 的新型 PGD 攻擊變體，它利用低秩結構來有效地產生對抗性攻擊，並在保持低記憶體成本的同時，實現了與標準 PGD 攻擊相當的性能。

論文資訊： Savostianova, D., Zangrando, E., & Tudisco, F. (2024). Low-Rank Adversarial PGD Attack. arXiv preprint arXiv:2410.12607v1. 研究目標： 本研究旨在開發一種更有效率的對抗性攻擊方法，以評估深度神經網路的穩定性。 方法： 作者觀察到，在許多情況下，使用 PGD 產生的擾動主要只影響輸入圖像奇異值譜的一部分，這表明這些擾動近似於低秩。基於此觀察，他們提出了一種 PGD 的變體，稱為 LoRa-PGD，它可以有效地計算低秩攻擊。 主要發現： LoRa-PGD 在使用傳統逐像素 l2 範數測量時，其攻擊效果與標準全秩 PGD 攻擊相當，但所需的秩顯著降低（從而減少了記憶體使用量）。 在使用核範數（衡量攻擊的頻譜大小）進行評估時，LoRa-PGD 的表現明顯優於全秩 PGD，同時仍能節省記憶體成本。 主要結論： LoRa-PGD 是一種有效且高效的對抗性攻擊方法，可用於評估深度神經網路的穩定性。其低秩結構使其在記憶體使用方面具有顯著優勢，使其成為對抗性訓練中產生對抗性樣本的理想選擇。 意義： 本研究為對抗性攻擊的研究提供了一種新的思路，即利用低秩結構來提高攻擊效率。這對於開發更強大的對抗性訓練方法具有重要意義。 局限性和未來研究方向： LoRa-PGD 與經典的 PGD 攻擊一樣，不適用於黑盒設定。 未來研究可以探索將 LoRa-PGD 整合到最新的對抗性訓練技術中，以進一步驗證其有效性和實用性。

在 CIFAR-10 資料集上，使用 l2 範數為 0.5 的 PGD 攻擊，LoRa-PGD 在秩等於最大秩的 10% 時，就能達到與全秩 PGD 相當的攻擊效果。 在 ImageNet 資料集上，使用 l2 範數為 0.25 的 PGD 攻擊，LoRa-PGD 在秩等於最大秩的 20% 時，就能達到與全秩 PGD 相當的攻擊效果。 對於 D 張大小為 C × M × N 的圖像，PGD 攻擊需要在具有 DCMN 個元素的張量中存儲。相比之下，LoRa-PGD 攻擊由兩個張量表示，總共有 DCr(M + N) 個元素，其中 r ≤ min(M, N)。