Résumé - Procédure de renforcement de la recherche par rayon des attaques avec étiquette dure à l'aide de prédictions basées sur le transfert

Procédure de renforcement de la recherche par rayon des attaques avec étiquette dure à l'aide de prédictions basées sur le transfert

2025-07-23 15:11:25

{"Chen Ma","Xinjie Xu","Shuyu Cheng","Qi Xuan"}

{cs.CV,cs.CR,cs.LG,"I.2.6; I.5.1; G.1.6"}

Ce document propose de nouvelles attaques à étiquette dure, Prior-OPT et Prior-Sign-OPT, qui intègrent des préjugés basés sur le transfert dans l'estimation du gradient de la direction des rayons et améliorent considérablement les performances des attaques. **Points clés** : * **Attaques à étiquette dure** : Ces attaques dépendent uniquement de l'étiquette prédite en top-1, ce qui les rend pratiques lorsque seule l'information sur les étiquettes est accessible. * **Méthodes de recherche de rayons** : Ces méthodes trouvent la direction de rayon optimale à partir de l'image bénigne qui minimise la distance à la région adversaire. Cependant, les méthodes existantes comme OPT et Sign-OPT souffrent d'une complexité de requête élevée et d'une faible précision d'estimation. * **Préjugés basés sur le transfert** : Ces préjugés sont obtenus à partir de modèles substituts et aident à améliorer l'exactitude de l'estimation du gradient sans augmenter sensiblement la complexité de requête. * **Prior-Sign-OPT et Prior-OPT** : Ces algorithmes estiment le gradient en combinant des préjugés et des vecteurs échantillonnés de manière aléatoire. Prior-Sign-OPT utilise le signe de la dérivée directionnelle pour l'efficacité, tandis que Prior-OPT fournit une approximation plus précise avec un peu plus de requêtes. * **Analyse théorique** : Le document dérive des expressions pour les similarités cosinus attendues entre les gradients estimés et les gradients réels, permettant des comparaisons théoriques et démontrant l'amélioration obtenue en intégrant les préjugés. * **Expériences** : Des expériences extensives sur les ensembles de données ImageNet et CIFAR-10 montrent que Prior-OPT et Prior-Sign-OPT surpassent de manière significative 11 méthodes de pointe en termes d'efficacité de requête et de performance d'attaque. **Avantages** : * **Amélioration de l'efficacité des requêtes** : Les méthodes proposées atteignent une meilleure efficacité des requêtes par rapport aux attaques à étiquette dure existantes. * **Meilleure performance d'attaque** : L'inclusion de préjugés basés sur le transfert améliore considérablement l'exactitude de l'estimation du gradient, conduisant à une meilleure performance d'attaque. * **Échelle** : Les méthodes peuvent être étendues facilement à plusieurs modèles substituts et à différents scénarios d'attaque. **Applications** : Les méthodes proposées peuvent être utilisées pour évaluer la robustesse des réseaux de neurones profonds et découvrir des vulnérabilités. Elles peuvent également être intégrées dans les mécanismes de défense pour améliorer la sécurité des systèmes IA. **Dans l'ensemble, ce document présente une approche nouvelle et efficace pour les attaques à étiquette dure qui offre des améliorations significatives en termes d'efficacité des requêtes et de performance d'attaque. Les méthodes proposées ont le potentiel de contribuer au développement de systèmes IA plus robustes et sécurisés**.