ESWA2024 | GI-FGSM | 通过全局动量初始化提高对抗攻击的迁移性

---

论文链接

本文 “Boosting the Transferability of Adversarial Attacks with Global Momentum Initialization” 提出全局动量初始化（GI）方法，通过预收敛和全局搜索解决梯度消除问题，提升对抗攻击转移性，在多种攻击场景和模型上效果显著。

---

摘要-Abstract

Deep Neural Networks (DNNs) are vulnerable to adversarial examples, which are crafted by adding human-imperceptible perturbations to the benign inputs. Simultaneously, adversarial examples exhibit transferability across models, enabling practical black-box attacks. However, existing methods are still incapable of achieving the desired transfer attack performance. In this work, focusing on gradient optimization and consistency, we analyse the gradient elimination phenomenon as well as the local momentum optimum dilemma. To tackle these challenges, we introduce Global Momentum Initialization (GI), providing global momentum knowledge to mitigate gradient elimination. Specifically, we perform gradient pre-convergence before the attack and a global search during this stage. GI seamlessly integrates with existing transfer methods, significantly improving the success rate of transfer attacks by an average of 6.4% under various advanced defense mechanisms compared to the state-of-the-art method. Ultimately, GI demonstrates strong transferability in both image and video attack domains. Particularly, when attacking advanced defense methods in the image domain, it achieves an average attack success rate of 95.4%.

深度神经网络（DNNs）容易受到对抗样本的攻击，这些对抗样本是通过在良性输入中添加人类难以察觉的扰动生成的。同时，对抗样本在不同模型间具有转移性，这使得实际的黑盒攻击成为可能。然而，现有方法仍无法实现理想的迁移攻击性能。在这项工作中，我们聚焦于梯度优化和一致性，分析了梯度消失现象以及局部动量最优困境。为应对这些挑战，我们引入了全局动量初始化（GI）方法，通过提供全局动量知识来缓解梯度消失问题。具体而言，我们在攻击前进行梯度预收敛，并在该阶段进行全局搜索。GI可以与现有的迁移方法无缝集成，与最先进的方法相比，在各种先进防御机制下，它能将迁移攻击的成功率平均显著提高6.4%。最终，GI在图像和视频攻击领域都展现出强大的转移性。特别是在图像领域攻击先进防御方法时，它的平均攻击成功率达到了95.4%.

---

引言-Introduction

该部分主要阐述研究背景、问题以及提出的解决方法和主要贡献，具体如下：

1. 研究背景：深度神经网络在诸多任务中表现出色，但易受对抗样本攻击，其通过添加不可察觉的扰动使模型性能下降。并且对抗样本具有跨模型转移性，能实现黑盒攻击，因此深入理解高转移性对抗样本的生成对增强模型鲁棒性至关重要。
2. 现有攻击方法及问题：现有攻击方法中，白盒攻击虽性能好但在有防御机制的模型上转移攻击性能不佳。为实现更实用的黑盒攻击，有梯度优化、数据增强和模型增强三类方法，其中梯度优化应用最广。但现有基于动量的梯度优化方法存在梯度消除现象，导致攻击初期方向不准确，且传统迭代攻击步长小，易使攻击陷入局部最优，直接调整步长还可能引发过拟合。
3. 解决方法：本文验证梯度一致性与攻击效果的关系，分析梯度消除现象，提出全局动量初始化（GI）方法。该方法通过攻击前的梯度预收敛加速动量收敛，抑制梯度消除，同时在预收敛阶段进行全局搜索，帮助初始动量在更有效的方向收敛。
4. 主要贡献：从理论和实验两方面验证梯度一致性与攻击性能的关系，确定当前攻击方法中的梯度消除问题；提出GI算法，利用预收敛和全局搜索提升梯度一致性，寻找全局最优解；GI能与现有基于梯度的攻击方法无缝结合，在多种攻击场景下优于现有方法，且可推广到视频攻击领域。

图1. 对抗样本生成与转移过程的流程。左侧模块展示了利用代理模型进行 $T$ 次迭代攻击生成样本的过程，而右侧模块描绘了将生成的对抗样本转移到黑盒模型的过程。

图2. （a）展示了不同步长下转移攻击的效果。scale_2和scale_10分别表示步长放大两倍和十倍时的攻击结果。（b）展示了不同攻击方法生成的对抗样本。所有对抗样本均由Inception-v3模型生成。

图3. 攻击过程的可视化。CT代表三种变换方法的组合：DIM、TIM、SIM。$x$ 代表原始数据点，$x^{CT}$ 代表在原始CT - FGSM方法下获得的对抗样本。$x^{pre}$ 和 $x^{GI-CT}$ 表示预攻击以及正式攻击的整个过程。

---

相关工作-Related Work

该部分主要介绍了与本文研究相关的主流攻击算法和防御方法，为后续研究提供了背景和对比基础，具体内容如下：

1. 梯度优化攻击：FGSM 通过一步最大化损失函数生成对抗样本；I - FGSM 将迭代分为多步；MI - FGSM 引入动量帮助攻击跳出局部最优；NI - FGSM 使用Nesterov加速梯度改进攻击；VT 通过梯度采样调整攻击方向。本文从梯度一致性角度分析并提出GI方法，以解决现有问题。
2. 输入变换攻击：DIM 利用随机缩放和填充进行数据增强；TIM 对梯度应用高斯核卷积变换；SIM 融合缩放图像的梯度知识；CT是前三者的结合，能有效增强攻击性能。GI可与这些输入变换方法轻松集成。
3. 先进对抗防御：主流防御方法分为对抗训练和对抗样本预处理。对抗训练通过用对抗样本增强训练数据来优化模型决策边界；对抗样本预处理则利用数据增强手段净化对抗样本的扰动，如压缩或平滑处理。

---

方法-Methodology

该部分主要介绍了研究中所使用的方法，包括对梯度消除现象的分析以及提出的全局动量初始化（GI）方法，具体内容如下：

1. 梯度消除
   • 基于MI - FGSM的分析：现有梯度优化方法中，MI - FGSM通过引入动量积累梯度以提升攻击性能，但动量积累是一个时间序列过程，早期梯度攻击可能因动量积累不足而导致性能不佳。因此文章以MI - FGSM为基础展开分析，并将其拓展到其他优化方法。
   • 梯度一致性研究：利用梯度一致性（攻击过程中梯度的相似程度）来研究攻击梯度与攻击优化目标之间的相关性。通过理论推导得出，当第一轮梯度作用于输入时，损失变化大于0，且任意两轮梯度之间的一致性可以用来预测损失变化。为提升攻击性能，应确保较高的梯度一致性。
   • 实验验证：实验发现，动量收敛前，梯度间的余弦相似度几乎为零，攻击方向随机性大，这是I - FGSM过拟合的关键因素；动量积累后，经过几轮前向梯度收敛，梯度一致性迅速提高并趋于稳定，说明动量有助于攻击梯度趋于更一致的方向，提升攻击性能。然而，动量收敛的时间序列特性会导致不同时刻动量携带信息的准确性不同，且在小数据分布内积累动量不利于找到更好的全局动量，容易过拟合，本文将这种梯度收敛不足导致攻击方向一致性差的现象定义为梯度消除。
2. 全局动量初始化（GI）
   • 策略介绍：为解决梯度消除问题，提出预收敛攻击策略和全局搜索机制。在正式迭代攻击前，对动量进行预收敛，此过程不对图像产生实质性影响，通过进行 $P$ 轮动量探索，将获得的动量知识作为初始化动量，有效抑制梯度消除现象。
   • 解决局部最优问题：传统迭代攻击步长小，生成图像的数据分布相似，限制了攻击在更广泛数据范围内探索决策边界，容易陷入局部最优。直接增大步长会影响图像并导致攻击过拟合。因此，在预收敛过程中加入全局搜索因子 $S$，增大探索步长，帮助形成更全局化的初始化动量方向，公式为 $g_{t+1}=\mu \cdot g_t+\frac{{\nabla }_{x}J(x_t^{adv},y)}{\Vert {\nabla }_{x}J(x_t^{adv},y){\Vert }_1}$ 和 $x_{t+1}^{adv}=Clip(x_t^{adv}+S\cdot \alpha \cdot sign(g_{t+1}))$ ，其中 $Clip(\cdot )$ 操作确保满足 $I_{\infty }$ 约束。
   • 攻击过程可视化：通过可视化不同方法的攻击过程发现，传统迭代方法在前向未收敛攻击中易受梯度消除影响，难以跨越决策边界；而引入预攻击探索和全局动量初始化的策略能提前找到更好的攻击方向，确保攻击过程的一致性，成功跨越决策边界。

图4. 迭代攻击之间的梯度一致性（余弦相似度）分析。
（a）表示动量积累前的梯度一致性；
（b）表示动量积累后各次迭代之间的梯度一致性；
（c）展示了第1次、第10次迭代与其他迭代之间的梯度相似性分析。
例如，当收敛距离为2时，第1轮和第3轮之间的梯度一致性比第10轮和第8轮之间的梯度一致性低近0.3。然而，采用我们的方法，这个差异小于0.1。差异的减小表明，第1轮的梯度与其他轮次梯度之间的一致程度，和第10轮的梯度与其他轮次梯度之间的一致程度非常相似。这意味着收敛更加充分。

---

实验-Experiment

该部分通过一系列实验，对提出的全局动量初始化（GI）方法进行了全面评估，主要内容如下：

1. 实验设置
   • 数据集：从ILSVRC 2012验证集中随机选取1000张正确分类且属于不同类别的图像作为原始输入。
   • 模型：涵盖多种正常训练模型（如Inception - v3、Inception - v4等）、对抗训练模型（如ens3adv - Inception - v3等），还选用了ViT、Swin - b等流行模型以及采用九种先进防御方法的模型作为攻击对象。
   • 基线方法：将MI - FGSM、NI - FGSM、VT等优化方法，DIM、TIM、SIM、CT等数据增强方法，以及SIA、Admix等最新方法作为基线。
   • 超参数设置：参照已有标准设置，如最大扰动 $ϵ$ 为16、迭代轮数 $T$ 为10等，GI方法中预收敛迭代次数 $P$ 设为5，全局搜索因子 $S$ 设为10。
2. 实验结果与分析
   • 优化方法结合实验：GI与NI - FGSM、MI - FGSM结合，在正常训练模型上大幅提升黑盒攻击转移性和白盒性能，但在对抗训练模型上提升相对较小。
     
     表1 仅使用优化方法对七个模型的攻击成功率（%）。对抗样本分别由Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101生成。$\ast$ 表示白盒攻击设置。
   • 与前沿方法结合实验：GI与前沿方法结合，攻击成功率显著提升，如GI - M(N)I - VT - FGSM平均攻击成功率达88.2% - 95.0%，比之前最先进的VM(N)I - CT - FGSM高出7.6%。
     
     表2 使用优化方法和变换方法对七个黑盒模型的攻击成功率（%）。对抗样本分别由Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101生成。$\ast$ 表示白盒攻击设置。
     
     表3 更多前沿方法以及与我们方法相结合后的攻击成功率（%）。$\ast$ 代表白盒攻击设置。对抗样本由Inception-v3生成。
   • 不同模型架构实验：在ViT、DeiT等多种模型架构上，GI - MI - CT - FGSM攻击成功率提升明显，验证了GI在不同模型架构上的有效性。
     
     表4 不同模型架构下的攻击成功率（%）。对抗样本由Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101模型的集成模型生成。
   • 集成模型实验：在集成模型攻击场景下，GI在CT和VT条件下均显著提升黑盒攻击有效性，平均攻击成功率超98.6%，接近白盒攻击性能。
     
     表5 使用优化方法和输入变换方法对七个模型的攻击成功率（%）。对抗样本由Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101模型的集成模型生成。$\ast$ 表示白盒攻击设置。
   • 先进防御方法评估实验：针对多种先进防御方法，GI攻击平均成功率达91.6% - 95.4%，比VM(N)I - CT - FGSM高6.4% - 9.0%，凸显现有防御方法的脆弱性。
     
     表6 使用优化方法和变换方法对九种先进防御方法的攻击成功率（%）。对抗样本由Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101模型的集成模型生成。
   • 视频模型实验：在视频模型攻击实验中，GI方法平均可将转移攻击成功率提高15%以上，证明其在不同领域攻击中的通用性和有效性。
     
     表7 视频模型下的攻击成功率（%）。对抗样本分别由NL-Res101、SlowFast-Res101、TPN-Res101模型生成。$\ast$ 表示白盒攻击设置。
3. 消融实验
   • 预收敛迭代次数 $P$：随着P增加，攻击性能提升并逐渐稳定，表明预收敛可抑制梯度消除，综合考虑选择 $P=5$。
   • 全局搜索因子 $S$：$S$ 增大时攻击性能显著提升并趋于稳定，说明全局搜索有助于找到更好的全局最优解，最终选择 $S=10$。对比实验显示，无动量初始化时，即便增加迭代轮数，攻击成功率仍远低于GI方法。

图5. 预收敛和全局搜索因子的消融实验。（a）和（b）展示了使用不同预收敛迭代次数时，六个黑盒模型的攻击成功率。（c）展示了不同全局搜索因子下，六个模型的平均攻击成功率。

表8 MI-CT-FGSM以及其与我们方法相结合时的攻击成功率（%）。此处MI-CT-FGSM采用与我们的GI-MI-CT-FGSM相同的 $P+T$ 次攻击迭代次数，以保证攻击时间一致。对抗样本由Inception-v3生成。

---

结论-Conclusion

该部分对研究进行总结，阐述研究成果、局限性，并对未来工作方向做出展望：

1. 研究成果：从梯度一致性角度分析现有优化方法，发现梯度消除问题，即其影响前向攻击有效性，且传统迭代攻击因小步长限制易陷入局部最优。提出全局动量初始化（GI）方法，通过高步长预收敛提供高质量动量知识，抑制梯度消除，显著提升攻击性能。GI可与多数基于梯度的优化方法结合，在对抗九种先进防御方法时平均成功率达95.4% ，远超之前89.0%的最优成功率，在视频攻击中表现也很出色。
2. 研究局限性：当前多数迁移攻击方法在跨模型结构时性能下降明显，GI也未能有效解决该问题。同时，GI仅在分类任务中得到验证，在其他任务中的性能有待探索。
3. 未来工作展望：在任务拓展方面，探索GI在其他任务中的性能；在算法优化上，考虑将预收敛过程加入迭代攻击以降低时间成本；从理论层面，利用梯度一致性探索广义扰动的生成 。