핵심 개념
Durch das Aufbrechen der intrinsischen Beziehungen innerhalb von Bildern können konsistentere Aufmerksamkeitskarten über verschiedene Modelle hinweg erzeugt werden, was zu einer deutlich verbesserten Übertragbarkeit von adversarischen Beispielen führt.
초록
Die Studie untersucht, wie die Übertragbarkeit von adversarischen Beispielen durch Veränderungen der Eingabebilder verbessert werden kann. Die Autoren beobachten, dass bestehende Methoden zur Eingabetransformation zu unterschiedlichen Aufmerksamkeitskarten auf verschiedenen Modellen führen, was die Übertragbarkeit begrenzt.
Um dies zu adressieren, schlagen die Autoren einen neuen Ansatz namens "Block Shuffle and Rotation" (BSR) vor. BSR teilt das Eingabebild in Blöcke auf, die dann zufällig verschoben und gedreht werden. Durch diese Transformation werden die intrinsischen Beziehungen im Bild gestört, was zu konsistenteren Aufmerksamkeitskarten über verschiedene Modelle hinweg führt.
Die empirischen Evaluationen auf dem ImageNet-Datensatz zeigen, dass BSR eine deutlich bessere Übertragbarkeit erreicht als bestehende Methoden zur Eingabetransformation, sowohl unter Verwendung eines einzelnen als auch mehrerer Modelle. Darüber hinaus ist BSR kompatibel mit anderen übertragungsbasierten Angriffen und kann deren Leistung weiter verbessern.
통계
Die Angriffe auf Inception-v3, Inception-v4, Inception-Resnet-v3 und Resnet-v2-101 Modelle erreichen durchschnittliche Erfolgsraten von 93,8% auf standardmäßig trainierten Modellen und 56,2% auf adversariell trainierten Modellen.
Die Kombination von BSR mit anderen Eingabetransformationen wie DIM, TIM, SIM, Admix und PAM führt zu weiteren Verbesserungen der Übertragbarkeit, mit durchschnittlichen Erfolgsraten von bis zu 98,4% auf adversariell trainierten Modellen.
인용구
"Durch das Aufbrechen der intrinsischen Beziehungen innerhalb von Bildern können konsistentere Aufmerksamkeitskarten über verschiedene Modelle hinweg erzeugt werden, was zu einer deutlich verbesserten Übertragbarkeit von adversarischen Beispielen führt."
"BSR erreicht eine deutlich bessere Übertragbarkeit als bestehende Methoden zur Eingabetransformation, sowohl unter Verwendung eines einzelnen als auch mehrerer Modelle."