ENSEMBLE ADVERSARIAL TRAINING: ATTACKS AND DEFENSES
后续工作(2020年4月新增)
从2017年NIPS对抗攻击防御大赛开始,许多后续工作提出了更复杂的黑盒的transfer-based 攻击。通过结合额外的优化技术(例如动量(Dong et al.,2018)、数据增强(Xie et al.,2019b;Dong et al.,2019)或残差网络“跳跃连接”的梯度(Wu et al.,2020)),这些攻击大大提高了对抗样本的可迁移性。
虽然Ensemble Adversarial Training 即本文,仍能提高模型对这些攻击的鲁棒性,但迄今为止最好的攻击(Wu et al. ,2020)-将我们最鲁棒的ImageNet模型的精度降低到22%。
我们还注意到,具有多步攻击的对抗训练现在已经扩展到ImageNet(Xie等人,2019a),从而产生了对白盒攻击具有可信且不可忽略的鲁棒性的模型,从而取代了通过Ensemble Adversarial Training 即本文 获得的结果。具有多步攻击的对抗性训练目前被认为是获得对固定类型扰动的鲁棒性的最先进的方法,无论是在白盒还是黑盒环境中。
同时,最近Wong等人,2020 的一个令人惊讶的结果表明,通过适当的步长调整和早期停止,单步R+FGSM攻击的对抗训练产生的模型具有白盒鲁棒性,与更昂贵的多步攻击相比(Madry等人,2017)
动量:Boosting adversarial attacks with