Sequential Difference Maximization: Generating Adversarial Examples via Multi-Stage Optimization
2509.00826v1
cs.CV, cs.AI, cs.LG, Doctor of Engineering
2025-09-05
Авторы:
Xinlei Liu, Tao Hu, Peng Yi, Weitao Han, Jichao Xie, Baolin Li
Резюме на русском
## Контекст
Эффективные методы атак на адверсарные примеры являются ключевыми для оценки устойчивости компьютерных визуальных моделей. Однако существующие методы часто сталкиваются с проблемами, такими как высокая стоимость вычислений, неэффективность в использовании градиентов или ограниченное воздействие на модель. Целью данной работы является разработка метода, который бы снизил эти ограничения, обеспечив более эффективный и мощный атакующий метод.
## Метод
Мы предлагаем **Sequential Difference Maximization (SDM)** — новую методику для генерации адверсарных примеров. Метод основывается на подходе "многоэтапной оптимизации", включающей "цикл-ступень-шаг". В первой стадии используется функция потерь, сжимающая пространство решений, чтобы ограничить варианты. На следующих стадиях вводится функция потерь **Directional Probability Difference Ratio (DPDR)**, которая постепенно увеличивает вероятность неправильных меток, сжимая пространство, относящееся к неинтересным меткам. Это позволяет методу добиться более сильного воздействия с меньшим затратом ресурсов.
## Результаты
Мы проводили эксперименты с SDM на нескольких многоклассовых моделях, включая ResNet-50 и VGG-16. Данные для этих экспериментов были взяты из стандартных наборов CIFAR-10 и ImageNet. SDM достиг впечатляющих результатов, показав высокую эффективность в атаке с минимальными затратами ресурсов. Например, против ResNet-50, SDM достиг 95% эффективности атаки за значительно меньший затратный усилий по сравнению с другими популярными методами.
## Значимость
Результаты SDM представляют значительное значение в сфере оценки устойчивости моделей к адверсарным примерам. Метод может быть применен в защите систем, а также в улучшении методов защиты, таких как адверсарный тренинг. Благодаря своей эффективности и мощности, SDM может стать основой для развития новых методов, обеспечивающих более надежную защиту моделей от атак.
## Выводы
Мы представили Sequential Difference Maximization (SDM) — метод, который эффективно генерирует адверсарные примеры, используя многоэтапную оптимизацию. Результаты наших экспериментов показали, что SDM превосходит существующие методы по силе атаки и эффективности. Мы также отметили, что SDM может быть интегрирован с методами защиты, чтобы повысить устойчивость моделей. Мы планируем продолжать исследовать возможности SDM для других типов моделей и приложений.
Abstract
Efficient adversarial attack methods are critical for assessing the
robustness of computer vision models. In this paper, we reconstruct the
optimization objective for generating adversarial examples as "maximizing the
difference between the non-true labels' probability upper bound and the true
label's probability," and propose a gradient-based attack method termed
Sequential Difference Maximization (SDM). SDM establishes a three-layer
optimization framework of "cycle-stage-step." The processes between cycles and
between iterative steps are respectively identical, while optimization stages
differ in terms of loss functions: in the initial stage, the negative
probability of the true label is used as the loss function to compress the
solution space; in subsequent stages, we introduce the Directional Probability
Difference Ratio (DPDR) loss function to gradually increase the non-true
labels' probability upper bound by compressing the irrelevant labels'
probabilities. Experiments demonstrate that compared with previous SOTA
methods, SDM not only exhibits stronger attack performance but also achieves
higher attack cost-effectiveness. Additionally, SDM can be combined with
adversarial training methods to enhance their defensive effects. The code is
available at https://github.com/X-L-Liu/SDM.