2025-11-24T16:40:16.782086

Boosting Adversarial Transferability via Commonality-Oriented Gradient Optimization

Gao, Liu, Liu et al.

Exploring effective and transferable adversarial examples is vital for understanding the characteristics and mechanisms of Vision Transformers (ViTs). However, adversarial examples generated from surrogate models often exhibit weak transferability in black-box settings due to overfitting. Existing methods improve transferability by diversifying perturbation inputs or applying uniform gradient regularization within surrogate models, yet they have not fully leveraged the shared and unique features of surrogate models trained on the same task, leading to suboptimal transfer performance. Therefore, enhancing perturbations of common information shared by surrogate models and suppressing those tied to individual characteristics offers an effective way to improve transferability. Accordingly, we propose a commonality-oriented gradient optimization strategy (COGO) consisting of two components: Commonality Enhancement (CE) and Individuality Suppression (IS). CE perturbs the mid-to-low frequency regions, leveraging the fact that ViTs trained on the same dataset tend to rely more on mid-to-low frequency information for classification. IS employs adaptive thresholds to evaluate the correlation between backpropagated gradients and model individuality, assigning weights to gradients accordingly. Extensive experiments demonstrate that COGO significantly improves the transfer success rates of adversarial attacks, outperforming current state-of-the-art methods.

academic

共通性指向勾配最適化によって対抗的転移可能性を向上させる

基本情報

論文ID: 2506.06992
タイトル: Boosting Adversarial Transferability via Commonality-Oriented Gradient Optimization
著者: Yanting Gao, Yepeng Liu, Junming Liu, Qi Zhang, Hongyun Zhang, Duoqian Miao, Cairong Zhao
所属機関: 同済大学、フロリダ大学
分類: cs.CV (コンピュータビジョン)
発表日: 2025年10月12日 (arXivプレプリントv2)
論文リンク: https://arxiv.org/abs/2506.06992

要約

Vision Transformers (ViTs)の特性とメカニズムを理解するために、効果的で転移可能な対抗的サンプルの探索は極めて重要である。しかし、代理モデルから生成された対抗的サンプルは、ブラックボックス設定において過学習のため、弱い転移可能性を示す傾向がある。既存の方法は、入力の摂動の多様化または代理モデル内での統一的な勾配正則化の適用を通じて転移可能性を改善しているが、同一タスクで訓練された代理モデルの共有および独特な特徴を十分に活用していないため、転移性能が最適でない。したがって、代理モデル間の共有情報を強化する摂動を増強し、個別特性に関連する摂動を抑制することは、転移可能性を改善するための効果的な手段を提供する。これに基づいて、共通性指向勾配最適化戦略(COGO)を提案する。これは共通性強化(CE)と個別性抑制(IS)の2つのコンポーネントを含む。CEは摂動の低周波領域を対象とし、同一データセットで訓練されたViTが分類のためにより多くの中低周波情報に依存する傾向があるという事実を活用する。ISは適応的閾値を採用して逆伝播勾配とモデル個別性の相関性を評価し、それに応じて勾配に重みを割り当てる。広範な実験により、COGOが対抗的攻撃の転移成功率を大幅に向上させ、現在の最先端手法を上回ることが示されている。

研究背景と動機

1. 研究課題

本論文は、Vision Transformers (ViTs)における対抗的攻撃の転移可能性問題を主に解決する。具体的には、代理モデルを使用して対抗的サンプルを生成し、未知のターゲットモデルを攻撃する場合、生成された対抗的サンプルはターゲットモデルに効果的に転移できず、攻撃が失敗することが多い。

2. 問題の重要性

安全関連アプリケーション: ViTの安全関連アプリケーションにおける信頼性は、対抗的攻撃による深刻な脅威にさらされている
ブラックボックス攻撃の現実性: 実際のシナリオでは、攻撃者は通常ターゲットモデルの内部構造にアクセスできないため、転移可能性が重要となる
モデルロバスト性評価: 対抗的サンプルの転移可能性を理解することは、モデルのロバスト性の評価と改善に役立つ

3. 既存手法の限界

過度な適合: 既存の手法で生成された対抗的サンプルは、代理モデル固有の情報を過度に含み、汎化能力が低い
統一的処理: TGRおよびGNS-HFAなどの手法は、統計的特性のみに基づいて勾配を統一的に調整し、勾配とモデル固有特性の相関性を考慮していない
周波数領域の不適切な利用: HFAなどの手法は高周波成分のみに焦点を当て、ViTがより中低周波情報に依存するという特性を無視している

4. 研究動機

著者は、同一データセットで訓練された異なるViTは、アーキテクチャの違いがあるにもかかわらず、決定パターンに共通性が存在すること、特に中低周波情報への依存性を観察した。したがって、共通特性を強化し個別特性を抑制することにより、より転移可能性の高い対抗的サンプルを生成できる。

核心的貢献

共通性指向最適化戦略の提案: 勾配とモデル特性の関係を初めて考慮し、従来の統一的な勾配調整手法を超える
COGOフレームワークの設計: 共通性強化(CE)と個別性抑制(IS)の2つのコンポーネントを組み合わせ、周波数領域エネルギー強化と適応的閾値メカニズムを利用する
顕著なパフォーマンス向上: GNS-HFAおよびATTを含む複数のベンチマークで既存の最先端手法を大幅に上回る
包括的な実験検証: ViT間転移およびViTからCNNへのクロスアーキテクチャ転移の両方で優れた性能を達成

方法の詳細説明

タスク定義

クリーン入力画像 $X_{clean} \in \mathbb{R}^N$ が与えられたとき、対抗的摂動 $\delta$ を生成することが目標である。これにより $X_{adv} = X_{clean} + \delta$ が代理モデルで成功した攻撃を実現し、未知のターゲットモデルへの優れたブラックボックス転移可能性を持つ。

モデルアーキテクチャ

COGO戦略は2つのコア・コンポーネントを含む:

1. 共通性強化 (Commonality Enhancement, CE)

CEモジュールは前向き伝播プロセス中に中低周波成分を強化する:

ステップ1: 現在の摂動とガウスノイズを追加

X = X_clean + δ
X_DCT = DCT(X + ε), ここで ε ~ N(0, I_N)

ステップ2: エネルギー分布を計算して強化

E(X_DCT) = Normalize(|X_DCT|)
X'_DCT = X_DCT · (1 + γ · E(X_DCT))

ステップ3: 空間領域に変換して空間マスクを適用

X_IDCT = IDCT(X'_DCT · M)

ここで γ は強化強度を制御し、M はHFAから継承された空間マスクである。

2. 個別性抑制 (Individuality Suppression, IS)

ISモジュールは逆伝播プロセス中に代理モデル固有の勾配を抑制する:

冗長特性の抑制:

相互情報量(MI)とピアソン相関係数(PC)を使用してチャネル間冗長性を定量化
適応的閾値: $\tau_{MI} = \beta_{MI} \cdot \text{mean}(MI(G_i^{(l)}, G_j^{(l)}))$
重み計算: $w_i = \max(0.1, 1 - \alpha \sum_{(i,j) \in P} (t_{i,j}^{MI} + t_{i,j}^{corr}))$
勾配調整: $\tilde{G}_i^{(l)} = G_i^{(l)} \cdot w_i$

追加知識の抑制:

データ効率的なViTにおける蒸留トークンなどの追加トークンに対して
スケーリング係数: $c = \sigma(\frac{\|G_{additional}^{(l)}\|_2}{\|G_{primary}^{(l)}\|_2})$
勾配調整: $\tilde{G}_{additional}^{(l)} = c \cdot G_{additional}^{(l)}$

技術的革新点

周波数領域共通性の利用: HFAが高周波のみに焦点を当てるのとは異なり、CEはViTが依存する中低周波成分を対象に強化する
適応的勾配抑制: ISは固定閾値ではなく適応的閾値を使用し、モデル固有の勾配をより良く識別および抑制する
双方向最適化戦略: CEとISは前向きと逆向きの両方向から協調的に最適化し、相補的効果を形成する

実験設定

データセット

ILSVRC 2012検証セット: ランダムに1000枚の画像をサンプリング。これは転移攻撃研究の標準設定である
TGRなどの先行研究の実験プロトコルに従う

評価指標

攻撃成功率 (ASR): $\text{ASR} = \frac{\text{成功した攻撃の数}}{\text{総攻撃数}} \times 100\%$
ターゲットモデルの誤分類を引き起こす対抗的サンプルの割合を測定

比較手法

主要ベースライン: TGR (ViT専用に設計)
最新手法: GNS-HFA、ATT
古典的手法: MIM、SINI-FGSM、PNA、SSA

実験モデル

代理モデル: Visformer-S、DeiT-B、CaiT-S/24、ViT-B/16
ViTターゲットモデル: TNT-S、ConViT-Bなど
CNNターゲットモデル: Inception-v3、Inception-v4、Inception-ResNet-v2、ResNet-101
防御モデル: 対抗的訓練されたアンサンブルモデル

実装の詳細

攻撃反復回数: 10回
最大 $\ell_\infty$ 摂動: $\epsilon = 8$ (0-255スケール)
主要ハイパーパラメータ: $\gamma = 1$ 、 $\alpha = 0.1$ 、 $\beta_{MI} = 0.5$ 、 $\beta_{corr} = 0.7$

実験結果

主要結果

ViT間転移性能:

GNS-HFAと比較して平均7.2%向上
ATTと比較して平均10.1%向上
テストされたすべてのViTアーキテクチャで最高性能を達成

クロスアーキテクチャ転移性能 (ViT → CNN):

GNS-HFAと比較して平均2.3%向上
ATTと比較して平均10.5%向上
防御モデルに対しても良好な攻撃効果を維持

具体的な数値例 (Visformer-Sを代理モデルとして):

手法	ViT-B/16	DeiT-B	TNT-S	Inc-v3	Inc-v4
GNS-HFA	49.1%	54.1%	81.3%	71.6%	71.3%
COGO	55.2%	64.9%	85.5%	71.8%	72.4%

アブレーション実験

CEおよびISコンポーネントの貢献:

CE	IS	ViTs	CNNs	CNNs-adv
-	-	46.64%	30.45%	9.80%
✓	-	72.56% (+25.92%)	56.18% (+25.73%)	32.15% (+22.35%)
-	✓	62.38% (+15.74%)	45.85% (+15.40%)	22.77% (+12.97%)
✓	✓	77.97% (+31.33%)	63.73% (+33.28%)	36.75% (+26.95%)

主要な発見:

CEコンポーネントがより大きな貢献をしており、周波数領域強化の重要性を証明している
ISコンポーネントは効果的な補完を提供し、両者の組み合わせが最良の結果をもたらす
すべてのタイプのモデルで顕著な向上が見られる

ハイパーパラメータ感度:

強化係数 γ = 1 のとき最適な効果
反復回数 N = 10 のとき性能バランスに到達
チャネルペア数が結果に与える影響は比較的小さく、手法のロバスト性を証明している

勾配分析

勾配分散性指標を通じた分析により以下が明らかになった:

COGOは勾配分布をより均一で多様にする
代理モデル固有特性への依存性を低減する
CEとISの相補性は異なる層で明らかに表現される

結論と考察

主要な結論

共通性指向最適化の有効性: モデル間の共通性を強化し個別性を抑制することにより、対抗的サンプルの転移可能性が大幅に向上する
周波数領域戦略の重要性: ViTの特性に対応した中低周波強化は従来の高周波手法より効果的である
適応的抑制の優位性: 勾配-特性相関性に基づく適応的抑制は統一的調整より優れている
クロスアーキテクチャの汎化性: 手法はViT間およびViTからCNNへの転移の両方で優れた性能を示す

限界

計算オーバーヘッド: 周波数領域変換と勾配分析は計算コストを増加させる
ハイパーパラメータ感度: 相対的にロバストであるが、適切なパラメータ調整が必要である
理論的分析: 中低周波強化がなぜより効果的であるかについての深い理論的分析が不足している
防御への対抗: 対象防御手法に対するロバスト性が十分に探索されていない

今後の方向性

理論の完善: 周波数領域共通性の理論的基礎を深く分析する
効率最適化: 計算オーバーヘッドを削減し実用性を向上させる
防御研究: COGO対策の防御メカニズムを探索する
応用拡張: 他のVision Transformer変種への手法の拡張

深い評価

利点

革新性の高さ: 共通性-個別性の観点から対抗的サンプルの転移可能性を分析する初めての試み、新規な思考方法
方法の体系性: CEおよびISの2つのコンポーネントは合理的に設計され、完全な最適化フレームワークを形成する
実験の充実: 複数のモデルアーキテクチャと攻撃シナリオをカバーし、結果の説得力が強い
性能の顕著性: 既存手法と比較して明らかな向上があり、新しい最先端水準に到達している
分析の深さ: 勾配分散性分析など深い洞察を提供する

不足点

理論的基礎: 中低周波共通性に対する理論的説明が十分でない
計算効率: 周波数領域変換と勾配分析が計算複雑性を増加させる
適用範囲: 主にViT向けであり、他のアーキテクチャへの適用可能性に限界がある
防御への配慮: 適応的防御の影響が十分に考慮されていない

影響力

学術的価値: 対抗的攻撃研究に新しい最適化思考方法を提供する
実用的価値: ViTのロバスト性評価に使用できる
再現可能性: 詳細な実装詳細とハイパーパラメータ設定を提供する
啓発的意義: 共通性-個別性分析フレームワークは他の関連研究に啓発を与える可能性がある

適用シーン

モデルロバスト性評価: 対抗的攻撃下でのViTの安全性を評価する
対抗的訓練: より挑戦的な訓練サンプルを生成する
セキュリティ研究: 深層学習モデルのセキュリティを理解し改善する
クロスモデル攻撃: ターゲットモデル情報が得られないブラックボックスシナリオで使用

参考文献

論文は関連分野の重要な研究を引用している。これには以下が含まれる:

Vision Transformer基礎研究 Dosovitskiy et al., 2020
対抗的攻撃古典的手法 Goodfellow, 2014; Madry et al., 2017
ViT固有の攻撃手法 Zhang et al., 2023; Zhu et al., 2024
周波数領域攻撃研究 Long et al., 2022

総合評価: これは対抗的攻撃研究における高品質な論文であり、方法の革新性、実験設計、結果分析のすべての面で優れた性能を示している。COGO手法は共通性強化と個別性抑制の双方向戦略を通じて、対抗的サンプルの転移可能性向上に対する効果的なソリューションを提供し、ViTセキュリティ研究に重要な価値を持つ。