摘要

在提高对抗性迁移能力的背景下，本文研究了可转移的黑盒攻击方法，并提出了传播校正攻击（PRA），该方法能够校正替代模型的前向和后向传播过程。具体而言，在校正前向传播时，我们开发了多尺度特征校正（MSFR），该方法将特征校正应用于不同层次的特征，使得前向传播处于对抗性优化的正确状态，并强调了多尺度衰减对于提高迁移能力的必要性和益处，这一点被现有研究忽略了。此外，对于后向传播，现有研究仅关注替代激活函数的导数的平滑性。而我们得出了一个更可行、更全面的结论：首先，激活函数的导数应为非负且单调，以保持梯度的完整性；其次，其二阶导数在接近零时应具有一定的幅度。基于这些发现，我们进一步提出了自适应激活校正（AAR），该方法考虑了每一层特征的特殊性，从而构建了一个更有效的激活函数替代方案。我们的评估在两个广泛使用的数据集上进行：ImageNet（相对于十个经典CNN模型平均提升了13.85%，相对于六个非传统CNN模型平均提升了15.38%）和CIFAR-10（平均提升了5.5%）。代码将在https://github.com/phyyyy/PRA上发布。