提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

提出的方法

提出了一种新的基于输入转换的攻击方法Admix，该方法考虑了输入图像和一组从其他类别中随机采样的图像。Admix不是直接计算原始输入上的梯度，而是计算输入图像上与一小部分附加图像混合的梯度，同时使用输入的原始标签来制造更多可转移的对手

一、背景

DIM：是第一个基于输入变换的攻击，它首先将输入图像调整为r×r×3图像，其中r以给定的概率p从[299,330)随机采样，并将调整大小的图像填充成330×330×3。然后DIM将转换后的图像提供给dnn进行梯度计算。
TIM：计算一组翻译图像上的平均梯度进行更新。为了进一步提高效率，TIM通过将未平移图像的梯度与预定义的核矩阵进行卷积来近似地计算梯度，而不是计算一组图像上的梯度。
SIM：发现DNNs的尺度不变性，并计算在更新输入的比例副本上的平均梯度：

二、思路

借鉴Mixup（将两个图像同等对待并相应地混合其标签）提高模型泛化性的思想，ICLR2018年提出的一种数据增强方法，一种简单且数据无关的数据增强方式。

三、算法

为了在不影响白盒攻击性能的前提下利用其他类别图像的信息，提出了将两种图像以主从方式混合的混合操作方法。具体来说，我们将原始图像 x 作为主图像，并将其与从其他类别中随机选取的副图像x′ 混合：

计算混合图像的平均梯度

其中 m1 是x′ 图像的数量， m2随机采样图像，X′ 定义为一些列 的种类.

四、Admix与Mixup的差异

• Mixup的目标是提高经过训练的DNN的泛化能力，而Admix的目标是生成更多可迁移的对抗样本。
• Mixup对x和x′一视同仁，还混搭了x和x′的标签。相比之下，Admix将x视为主要成分，并结合了一小部分x′，同时保留了x的标签。
• .Mixup线性插值x和x′，而Admix没有这样的约束，导致变换后的图像更分散。

五、实验

baseline ：MI-FGSM

• 在不同单一输入转换的单模型设置下，7个模型的攻击成功率（%）。对手分别在Inc-v3、Inc-v4、IncRes-v2和Res-101模型上精心制作。*表示白盒攻击。
  
  在四个网络模型上训练制作对抗，七个模型上测试。与三种竞争基线（DIM\TIM\SIM）相比，Admix在所有模型上都取得了更好的可转移性，并在白盒设置下保持了较高的攻击成功率。

• 在使用不同组合输入转换的单一模型设置下，7个模型的攻击成功率（%）。这些对手分别在Inc-v3、Inc-v4、IncRes-v2和Res-101模型上精心制作。*表示白盒攻击。(组合输入变换的评）
  

• 集成模型攻击评价先
  

• 进防御模型的攻击
  -

• 消融实验
  On the number of sampled images x′.
  m2的值越大表示计算成本越高，因此我们将设置为3以平衡计算成本和攻击性能。

On the admixed strength of sampled image x′
当我们增加η时，可转移性迅速增加，当η=0.2时，Admix在对抗训练模型上达到峰值，当η=0.2或η=0.25时，对于Admix-Ti-DIM在所有模型上时达到峰值。通常，我们将η设为0.2以获得更好的性能。

六、结论

在这项工作中，我们提出了一种新的输入转换方法，称为Admix，以提高精心的对手的可移植性。具体来说，对于每个输入图像，我们从其他类别中随机抽取一组图像，并将每个采样图像的一小部分混合到原始图像中，以制作一组不同的图像，但使用原始标签进行梯度计算。大量的评估表明，所提出的Admix攻击方法比现有的攻击具有更好的基于竞争输入转换的攻击可转移性，同时保持了较高的攻击成功率。在我们看来，混合操作是一种新的对抗性学习的数据论证范式，其中混合图像更接近决策边界，提供了更多的可转移的对手。我们希望我们的Admix攻击将阐明对抗性攻击的潜在方向.
参考：
https://zhuanlan.zhihu.com/p/501926311