内容来源于论文:Enhancing Adversarial Example Transferability with an Intermediate Level Attack,发表在11月初的ICCV 2019会议上。
论文地址:Enhancing Adversarial Example Transferability with an Intermediate Level Attack
完整论文:arxiv.org/pdf/1907.10823.pdf
代码地址:github.com/CUVL/Intermediate-Level-Attack
文章主要分为以下几部分:
- 摘要( Abstract )
- 引言(Introduction)
- 背景&相关工作(Background and Related Work)
- 方法(Approach)
- 结果(Results)
- 解释ILE有效性(Explaining the Effectiveness of Intermediate Layer Emphasis)
- 结论(Conclusions)
介绍:
本文主要介绍了ILA这种中间层攻击的方法,方法比较简单,证明部分比较麻烦,也比较难懂。之前的文章都是使用某一个神经网络模型的最终输出,然后求得loss,再进行FGSM等运算。
本文的创新就在于,ILA算法是基于某一个攻击方法(eg: I-FGSM)生成的对抗样本作为baseline,针对baseline的对抗样本利用文章中提到的ILA算法,对对抗样本进行轻微改动。改动方法是直接利用对抗样本再次输入到神经网络中,针对神经网络的中间层的输出结果采用本文提到ILA方法,产生新的对抗样本。经过该方法获得的对抗样本,迁移性更高。
ILA算法的核心为:
这里的Loss有两个来源,ILAP和ILAF。
ILAP中,实际上是
Δyl′′ 向
Δyl′投影,是朝着
Δyl′进行改变的。ILAF中分为两部分,
α⋅∥Δyl′∥2∥Δyl′′∥2 和
∥Δyl′′∥2Δyl′′⋅∥Δyl′∥2Δyl′。
∥Δyl′∥2∥Δyl′′∥2 是
Δyl′′ 和
Δyl′的比值,是一个数;
∥Δyl′′∥2Δyl′′⋅∥Δyl′∥2Δyl′是两个单位向量,为扰动指明了方向。
【 结论】
ILA可以和I-FGSM、MI-FGSM、M-DI2-FGSM等方法结合。但不便于结合ensemble方法,主要体现在需要求得每一个模型的最佳的layer,再确定模型的比例。
下面是看文章后自己总结制作的slide: