Шершень

Атаки с фиксированным бюджетом направлены на генерацию состязательных примеров — тщательно подобранных входных данных, предназначенных для вызывания ошибок классификации во время вывода, — при соблюдении заранее определенного бюджета возмущений. Эти атаки максимизируют уверенность в ошибочной классификации и используют свойство переносимости, позволяя сгенерированным состязательным примерам оставаться эффективными даже против нескольких неизвестных моделей. Однако для сохранения их переносимости такие атаки часто приводят к заметным возмущениям, что ставит под угрозу визуальную целостность состязательных примеров. В этой статье мы представляем HORNET, расширение градиентных атак с фиксированным бюджетом, предназначенное для минимизации величины возмущений состязательных примеров при сохранении их переносимости против целевой модели. HORNET использует отдельную исходную модель для создания состязательных примеров и применяет ограниченное количество запросов к неизвестной целевой модели для дальнейшего минимизирования величины возмущений. Мы эмпирически оцениваем HORNET, интегрируя его с существующими реализациями атак и тестируя его на различных моделях. Наши результаты показывают, что HORNET превосходит современные методы генерации минимально возмущенных, но при этом легко переносимых состязательных примеров для всех протестированных моделей. Код доступен по адресу: https://github.com/louiswup/HORNET - HORNET: Fast and minimal adversarial perturbations

P.S. См. также другие публикации по теме adversarial, посвященные устойчивому машинному обучению