#109
summarized by : 伊藤 諒悟
Enhancing the Transferability of Adversarial Attacks Through Variance Tuning
Xiaosen Wang, Kun He

どんな論文か?

従来の研究ではwhite-box攻撃を前提とすることが多く、そこで作成されたAdversarial Examples(AEs)は他のモデルも誤認識させられることが分かっていた(転移性)。しかし、防御手法が施されたモデルについては転移性が弱く、またblack-box攻撃はwhite-box攻撃と比べ大きく性能が落ちていた。そこで、転移性を向上させるような摂動更新方法を提案し、その有効性を示した。
placeholder

新規性

Adversarial Attackにおいて摂動を繰り返し更新する際に、現在のステップの勾配だけでなく、前ステップにおける勾配の分散情報を用いることで、各ステップにおける勾配の分散を小さくし、安定した摂動の更新を実現し、転移性の向上につながった。これはvariance tuningと呼ばれ、従来の攻撃手法であるMI-FGSMやNI-FGSMに適用して検証している。

結果

作成したAEsを用いて他モデルの誤認識率を調べるだけでなく、DIM等の勾配計算時の入力画像変換を施しての実験や、複数モデルで作成したAEsのアンサンブルを用いた実験、防御手法を取り込んだモデルへの実験も行うことで、転移性の向上を示した。

その他(なぜ通ったか?等)

従来手法の問題提起から提案手法までの流れがよくまとまっており、また実験を広く行って有効性を示していた点が良かったのだと思う。公式実装:https://github.com/JHL-HUST/VT

このページで利用されている画像は論文から引用しています.