[读论文]通过中间层攻击提高对抗样本的迁移性(Enhancing Adversarial Example Transferability with an ILA)

内容来源于论文：Enhancing Adversarial Example Transferability with an Intermediate Level Attack，发表在11月初的ICCV 2019会议上。

论文地址：Enhancing Adversarial Example Transferability with an Intermediate Level Attack
完整论文：arxiv.org/pdf/1907.10823.pdf
代码地址：github.com/CUVL/Intermediate-Level-Attack

文章主要分为以下几部分：

摘要( Abstract )
引言（Introduction）
背景&相关工作（Background and Related Work）
方法（Approach）
结果（Results）
解释ILE有效性（Explaining the Effectiveness of Intermediate Layer Emphasis）
结论（Conclusions）

介绍：
本文主要介绍了ILA这种中间层攻击的方法，方法比较简单，证明部分比较麻烦，也比较难懂。之前的文章都是使用某一个神经网络模型的最终输出，然后求得loss，再进行FGSM等运算。

本文的创新就在于，ILA算法是基于某一个攻击方法(eg: I-FGSM)生成的对抗样本作为baseline，针对baseline的对抗样本利用文章中提到的ILA算法，对对抗样本进行轻微改动。改动方法是直接利用对抗样本再次输入到神经网络中，针对神经网络的中间层的输出结果采用本文提到ILA方法，产生新的对抗样本。经过该方法获得的对抗样本，迁移性更高。

ILA算法的核心为：
在这里插入图片描述
这里的Loss有两个来源，ILAP和ILAF。

ILAP中，实际上是 $\Delta y_{l}^{\prime \prime}$ 向 $\Delta y_{l}^{\prime }$ 投影，是朝着 $\Delta y_{l}^{\prime }$ 进行改变的。ILAF中分为两部分， $\alpha \cdot \frac{\left\|\Delta y_{l}^{\prime \prime}\right\|_{2}}{\left\|\Delta y_{l}^{\prime}\right\|_{2}}$ 和 $\frac{\Delta y_{l}^{\prime \prime}}{\left\|\Delta y_{l}^{\prime \prime}\right\|_{2}} \cdot \frac{\Delta y_{l}^{\prime}}{\left\|\Delta y_{l}^{\prime}\right\|_{2}}$ 。 $\frac{\left\|\Delta y_{l}^{\prime \prime}\right\|_{2}}{\left\|\Delta y_{l}^{\prime}\right\|_{2}}$ 是 $\Delta y_{l}^{\prime \prime}$ 和 $\Delta y_{l}^{\prime }$ 的比值，是一个数； $\frac{\Delta y_{l}^{\prime \prime}}{\left\|\Delta y_{l}^{\prime \prime}\right\|_{2}} \cdot \frac{\Delta y_{l}^{\prime}}{\left\|\Delta y_{l}^{\prime}\right\|_{2}}$ 是两个单位向量，为扰动指明了方向。