对抗攻击之SMI-FGSM：北航提出用"空间动量"提高对抗迁移性

▊ 引言

当前很多对抗攻击方法在白盒条件下都能达到非常高的攻击成功率，但在该条件下生成的对抗样本可迁移性较差。基于动量的攻击MI-FGSM 是提高对抗样本可迁移性的一种非常有效方法，它将动量项集成到迭代过程中，可以通过为每个像素添加梯度的时间相关性来稳定梯度的更新方向。

在该论文中作者认为对抗扰动中只有这种时序动量是不够的，还需要引入图像中空间域的梯度（就是以目标像素为中心的上下文像素的梯度）对于稳定梯度方向也很重要。

因此，作者提出了一种新的方法，称为空间动量迭代 FGSM 攻击（SMI-FGSM），该方法通过考虑来自不同区域的上下文梯度信息，引入了从时域到空间域的动量累积机制。实验结果表明跟其它先进的方法相比，论文中的方法对多个主流的无防御和有防御模型实现了目前最高的迁移成功率。

论文链接：https://arxiv.org/abs/2203.13479

▊ 相关工作

▊ 论文方法

作者在迭代攻击中使用梯度的余弦相似度作为度量指标，SMI-FGSM与I-FGSM相比具有更高的相似性，这表明了SMI-FGSM产生的梯度更加稳定。SMI-FGSM可以与MI-FGSM相结合，从时间和空间两个方面同时稳定梯度的更新方向，进一步提高对抗迁移性的能力，具体的算法流程图如下所示：

▊ 实验结果

在单一模型设置下使用I-FGSM和SMI-FGSM进行对抗攻击。如下表所示，可以直观地发现SMI-FGSM在攻击白盒模型时与I-FGSM一样强大，它们的成功率都接近100%，但基于空间动量的攻击显著提高了对抗样本的对抗可转移性，这揭示了空间信息对于提高可转移性的重要性。

下表比较了论文的方法与MI-FGSM改进版本的对抗迁移性，可以发现SM2I-FGSM的性能大大优于其他方法。

如下图所示分别为MI-FGSM、NI-FGSM、SMI-FGSM和SM2I-FGSM（第二行、第三行、第四行和第五行）生成的对抗样本的定性结果，可以发现论文中的方法另一个突出的优点是在视觉上生成与原样本更相似的对抗样本，这表明了所提出的攻击方法的优越性。

作者将DTS与MI-FGSM、NI-FGSM、VMI-FGSM和SM2I-FGSM组合为MI-FGSM-DTS、NI-FGSM-DTS、VMI-FGSM-DTS和SM2I-FGSM-DTS。由下表可知，在Inc-v3 模型上生成对抗样本时，SM2I-FGSM-DTS的平均迁移成功率为81.9%。

与平均成功率为64.8%的基准方法MI-FGSM-DTS相比，这是一个显著的改进，这也表明论文的方法具有更好的可扩展性，可以与现有方法结合，进一步提高基于迁移的黑盒攻击的成功率。