IGAff: Benchmarking Adversarial Iterative and Genetic Affine Algorithms on Deep Neural Networks
2509.06459v1
cs.CV, cs.LG
2025-09-10
Авторы:
Sebastian-Vasile Echim, Andrei-Alexandru Preda, Dumitru-Clementin Cercel, Florin Pop
Резюме на русском
## Контекст
Deep neural networks (DNNs) широко применяются в различных областях искусственного интеллекта, достигая совершенства в решении многих задач. Однако, несмотря на их высокую точность, эти сети остаются сложными для понимания и чувствительными к малым изменениям во входных данных. Это приводит к возникновению так называемых адверсарских атак, которые используются для выявления слабых мест DNN. Изучение этих атак важно для создания более надежных сетей и понимания их слабых мест. Одним из актуальных направлений является использование итеративных и генетических методов для создания адверсарских примеров. Мы стремимся изучить эффективность таких подходов на различных DNN-архитектурах, включая ResNet-18, DenseNet-121, Swin Transformer V2, и Vision Transformer.
## Метод
Для нашего исследования мы разработали две новые алгоритмы: **Affine Transformation Attack (ATA)** и **Affine Genetic Attack (AGA)**. ATA использует итеративные аффинные преобразования для максимизации атакующей функции, тогда как AGA использует генетические алгоритмы, генерируя шум и применяя аффинные преобразования. Мы проводим эксперименты на данных Tiny ImageNet, Caltech-256 и Food-101. Модели оцениваются в условиях различных параметров алгоритмов, аugmentation и типов атак (глобальные и целевые). Мы также сравниваем наши результаты с двумя существующими black-box алгоритмами, Pixle и Square Attack, чтобы определить точность и эффективность наших подходов.
## Результаты
В ходе экспериментов мы обнаружили, что наши алгоритмы ATA и AGA показали лучшие результаты по сравнению с Pixle и Square Attack. Атака ATA демонстрирует увеличение точности до 8.82%, а AGA также показала высокую эффективность, особенно в случае глобальных атак. Мы также изучили влияние параметров алгоритмов на их эффективность и обнаружили, что атаки ATA и AGA остаются эффективными даже при изменении параметров. Эти результаты демонстрируют высокую силу атак и возможность более надежной защиты DNN с помощью грамотной настройки параметров.
## Значимость
Наши исследования имеют практическое значение для развития методов защиты от адверсарсных атак. Мы демонстрируем, что ATA и AGA могут быть эффективно использованы для обнаружения слабых мест в DNN, что помогает в дальнейшем создании более надежных моделей. Еще, наши результаты могут быть применены в области безопасности информации, где важно выявлять уязвимости в системах искусственного интеллекта. Наша работа также открывает пути для дальнейшего исследования новых, более эффективных алгоритмов для защиты DNN.
## Выводы
Мы сумели продемонстрировать, что ATA и AGA существенно превосходят другие методы а
Abstract
Deep neural networks currently dominate many fields of the artificial
intelligence landscape, achieving state-of-the-art results on numerous tasks
while remaining hard to understand and exhibiting surprising weaknesses. An
active area of research focuses on adversarial attacks, which aim to generate
inputs that uncover these weaknesses. However, this proves challenging,
especially in the black-box scenario where model details are inaccessible. This
paper explores in detail the impact of such adversarial algorithms on
ResNet-18, DenseNet-121, Swin Transformer V2, and Vision Transformer network
architectures. Leveraging the Tiny ImageNet, Caltech-256, and Food-101
datasets, we benchmark two novel black-box iterative adversarial algorithms
based on affine transformations and genetic algorithms: 1) Affine
Transformation Attack (ATA), an iterative algorithm maximizing our attack score
function using random affine transformations, and 2) Affine Genetic Attack
(AGA), a genetic algorithm that involves random noise and affine
transformations. We evaluate the performance of the models in the algorithm
parameter variation, data augmentation, and global and targeted attack
configurations. We also compare our algorithms with two black-box adversarial
algorithms, Pixle and Square Attack. Our experiments yield better results on
the image classification task than similar methods in the literature, achieving
an accuracy improvement of up to 8.82%. We provide noteworthy insights into
successful adversarial defenses and attacks at both global and targeted levels,
and demonstrate adversarial robustness through algorithm parameter variation.
Ссылки и действия
Дополнительные ресурсы: