【AAAI2022】学会学习可迁移攻击

迁移对抗性攻击是一种非常难的黑箱对抗性攻击，其目标是对代理模型制造对抗性扰动，然后将这种扰动应用于受害者模型。然而，现有方法的扰动的可迁移性仍然有限，因为对抗性扰动很容易与单一代理模型和特定的数据模式过拟合。在本文中，我们提出了一种学会学习可迁移攻击(LLTA)方法，通过从数据和模型增强中学习，使对抗摄动更加一般化。对于数据增强，我们采用简单的随机大小和填充。在模型增强方面，我们随机改变正向传播而不是反向传播，以消除对模型预测的影响。通过将特定数据和修正模型的攻击作为一项任务来处理，我们期望对抗摄动采用足够的任务来泛化。为此，在扰动生成迭代过程中进一步引入元学习算法。在广泛应用的数据集上进行的实验结果表明，该攻击方法的传输攻击成功率比现有方法提高了12.85%。我们还在现实世界的在线系统，即谷歌云视觉API上对我们的方法进行了评估，以进一步展示我们的方法的实用潜力。

https://arxiv.org/abs/2112.06658