结构不变性转换:提高对抗迁移性能
给定深度神经网络(DNN)对抗性示例的严重性脆弱性,迫切需要一种有效的对抗性攻击来识别 DNN 在安全敏感应用中的缺陷。本文提出了一种基于输入变换的攻击方法,称为 Structure Invariant Attack(SIA),通过对每个图像块应用随机图像变换来产生一组多样化的图像,从而改善了传递性。其在 CNN 和 Transformer 模型上展示了较现有方法更好的传递性。
该文介绍了一种新的攻击方法,称为块洗牌和旋转(BSR),通过随机洗牌和旋转输入图像块来构造新的图像用于梯度计算。在 ImageNet 数据集上实验表明,BSR 的迁移性能优于现有方法,与当前输入变换方法相结合,能进一步提高迁移性能,优于最先进的方法。
