对于黑箱攻击,替代模型和受害者模型之间的差距通常很大,这表现为攻击性能较弱。观察到通过同时攻击不同的模型可以提高对抗样本的可迁移性,因此提出了模型增强的方法,通过使用变换的图像模拟不同的模型。然而,现有的空域变换并不能转化为明显不同的增强模型。
为了解决这个问题,作者提出了一种新的频谱模拟攻击(spectrum simulation attack),以制作更多的可迁移的对抗样本来攻击正常训练和防御模型。具体来说,作者对输入进行频谱变换,从而在频域上进行模型增强。作者从理论上证明,从频域得出的变换导致了多样化的频谱显著性图,这是提出的反映替代模型多样性的指标。值得注意的是,其方法一般可以与现有的攻击相结合。在 ImageNet 数据集上进行的大量实验证明了这个方法的有效性。内容中包含的图片若涉及版权问题,请及时与我们联系删除
评论
沙发等你来抢