RaPA: Enhancing Transferable Targeted Attacks via Random Parameter Pruning

本文针对现有迁移式目标攻击成功率低的问题，提出了一种无需训练的随机参数剪枝攻击（RaPA）方法，通过在优化过程中随机剪枝模型参数来生成多样化的代理模型变体，从而缓解对特定参数的过度依赖并显著提升跨架构（如从 CNN 到 Transformer）的攻击迁移成功率。

要点

这篇论文介绍了一种名为 RaPA（随机参数剪枝攻击）的新方法，旨在让 AI 模型的“欺骗”变得更加容易和有效。

为了让你轻松理解，我们可以把整个过程想象成**“制造一把万能钥匙”**的故事。

1. 背景：什么是“对抗样本”？

想象一下，你有一个非常聪明的AI 保安（目标模型），它负责识别图片。

• 正常情况：它看到一只猫，会说“这是猫”。
• 对抗攻击：黑客给图片加了一点点人眼看不见的“噪点”（就像在猫脸上贴了一层极薄的隐形贴纸），AI 保安就会晕头转向，大喊“这是一辆坦克！”。

“迁移攻击”（Transfer-based Attack） 是黑客的一种策略：
黑客自己先训练了一个**“替身保安”（代理模型），在这个替身身上反复试验，造出了那把能骗过替身的“万能钥匙”（对抗样本）。然后，黑客希望这把钥匙不仅能骗过替身，还能直接骗过真正的目标保安**（黑盒模型），而黑客根本不知道目标保安长什么样。

2. 问题：为什么以前的钥匙不好用？

以前的黑客在造钥匙时，发现了一个大问题：过度依赖。

• 比喻：以前的黑客在研究替身保安时，发现只要按住替身保安大脑里的某几个特定的神经元（比如第 3 号和第 5 号），他就能让保安晕倒。于是，他造出的钥匙是专门针对这几个神经元的“定制锁”。
• 后果：当这把钥匙拿去开真正的目标保安的门时，发现目标保安的大脑结构不一样（第 3 号和第 5 号神经元可能根本不存在，或者位置不同）。结果，钥匙插进去，门打不开。
• 论文发现：现有的方法生成的攻击样本，太依赖代理模型里的一小部分“关键参数”了。这就像钥匙只认得特定的锁孔，换一家店（换一种模型）就废了。

3. 解决方案：RaPA（随机参数剪枝攻击）

RaPA 的核心思想是：“别只盯着那几个关键神经元，要让钥匙适应所有可能的锁孔。”

• 具体做法：
  在制造钥匙的过程中，RaPA 不再固定地研究替身保安的完整大脑。相反，它在每一次尝试时，都随机地“蒙住”一部分神经元（随机剪枝参数），假装这些神经元不存在。

  • 第一次尝试：蒙住第 1、10、50 号神经元，造一把钥匙。
  • 第二次尝试：蒙住第 2、9、51 号神经元，再造一把钥匙。
  • 第三次尝试：蒙住第 3、11、52 号神经元……

• 为什么要这样做？
  这就好比黑客在训练一个**“盲眼保安团队”。因为每次都有随机的人被蒙住眼睛，黑客被迫不能只依赖那几个“超级神经元”，而必须学会利用整个大脑的协作**来制造钥匙。

  这样造出来的钥匙，不再依赖特定的几个点，而是利用了整体结构。无论目标保安的大脑结构怎么变，只要它也是由神经元组成的，这把“通用钥匙”就能起作用。

• 理论解释（简单版）：
  论文证明，这种“随机蒙眼”的操作，在数学上等同于给钥匙加了一个**“平均化调节器”**。它强迫攻击者把“功劳”均匀地分摊给所有神经元，而不是让少数几个神经元独揽大权。

4. 效果：这把新钥匙有多厉害？

论文做了大量实验，把 RaPA 制造的钥匙拿去攻击各种各样的模型（有的像传统的 CNN 网络，有的像最新的 Transformer 网络）。

• 跨架构攻击：以前，用 CNN 模型造的钥匙去攻击 Transformer 模型，成功率很低（就像用开老式门锁的钥匙去开智能门锁）。RaPA 让这种跨类型的攻击成功率提升了**11.7%**以上。
• 无需训练：RaPA 不需要重新训练模型，也不需要复杂的计算，就像给现有的攻击方法加了一个“随机蒙眼”的插件，简单又高效。
• 越练越强：如果给黑客更多的计算资源（更多的尝试次数），RaPA 的效果提升得比其他方法都快。

5. 总结

RaPA 就像是一个聪明的“盲盒训练师”。

以前的攻击方法像是在背“标准答案”，只记住了几个特定的解题步骤，换个题目（模型）就不会做了。
RaPA 则强迫 AI 在训练时随机遮住一部分解题步骤，迫使它学会通用的解题逻辑。

结果就是，它造出的“万能钥匙”不再依赖特定的锁孔，而是能灵活适应各种不同结构的门锁，极大地提高了欺骗不同 AI 模型的成功率。这对于研究 AI 的安全性（如何防止被欺骗）和增强 AI 的防御能力（如何不被骗）都具有重要意义。

技术摘要

1. 研究背景与问题 (Problem)

背景：
深度神经网络在计算机视觉领域广泛应用，但极易受到对抗样本（Adversarial Examples）的攻击。其中，基于迁移的攻击（Transfer-based Attacks） 是一种黑盒攻击方法，攻击者利用白盒模型（代理模型）生成的对抗样本，无需访问目标模型的架构、参数或梯度，即可欺骗目标模型。

核心问题：
尽管已有多种方法（如输入多样化、梯度稳定化、重训练代理模型等）提升了攻击成功率（ASR），但针对性迁移攻击（Targeted Transfer Attacks） 的成功率仍然显著低于非针对性攻击。

• 现有方法的缺陷： 作者发现，现有方法生成的对抗扰动过度依赖于代理模型中的一小部分参数。
• 后果： 这种对特定参数子集的“过度依赖（Over-reliance）”导致生成的对抗样本在代理模型上表现良好（白盒），但难以泛化到具有不同参数配置或训练动态的未见目标模型（黑盒），从而限制了迁移性。

2. 方法论 (Methodology)

为了解决上述过度依赖问题，作者提出了 随机参数剪枝攻击（Random Parameter Pruning Attack, RaPA）。

2.1 核心洞察与动机

• 观察： 通过初步实验（基于 Optimal Brain Damage 框架），作者发现如果剪去代理模型中“最重要”的 0.5% 参数，攻击成功率会急剧下降（超过 46%）；而剪去“最不重要”的参数则影响甚微。这证实了对抗扰动高度集中在少数关键参数上。
• 难点： 直接识别并屏蔽这些重要参数需要计算二阶导数，计算成本过高，且直接屏蔽会导致代理模型能力迅速退化，甚至无法欺骗原模型。

2.2 RaPA 算法设计

RaPA 的核心思想是在攻击优化过程中的每一步，对代理模型的参数进行随机剪枝（Random Pruning），从而引入参数级的随机化。

• 随机掩码机制：

  • 在每次优化步骤中，为选定的层（线性层和归一化层）生成随机二值掩码 $M$。
  • 参数被更新为 $M \odot \theta$（$\odot$ 为逐元素乘法），其中 $M$ 的元素服从伯努利分布 $Bernoulli(1-p)$，$p$ 为丢弃概率。
  • 这意味着在每次前向传播和反向传播时，代理模型实际上是一个不同的、参数被随机掩蔽的变体。

• 理论解释（重要性均衡正则化）：

  • 作者通过二阶泰勒展开证明，对随机掩码取期望等价于在损失函数中增加了一个重要性均衡正则项（Importance-equalization Regularizer）。
  • 公式推导显示，期望损失 = 原始损失 + $p(1-p) \sum \frac{\partial^2 L}{\partial \theta_i^2} \theta_i^2$。
  • 这一项惩罚了参数重要性分布的不均匀性，迫使对抗扰动分散到所有参数上，而不是集中在少数参数上，从而提升了对不同参数配置的鲁棒性。

• 实现细节：

  • DropConnect 应用： RaPA 借鉴了训练中的 DropConnect 思想，应用于线性层（权重和偏置）和归一化层（变换参数）。
  • 集成性： RaPA 是训练无关（Training-free）的，可以无缝集成到现有的输入变换（如 DI, RDI）和梯度稳定化（如 MI-FGSM）框架中。

3. 主要贡献 (Key Contributions)

1. 揭示了过度依赖问题： 首次明确指出并量化了现有迁移攻击方法中对抗扰动过度依赖代理模型少数参数的问题，这是导致迁移性差的关键原因。
2. 提出了 RaPA 方法： 设计了一种无需重新训练、跨架构高效的随机参数剪枝攻击方法。理论证明了随机剪枝隐含地起到了均衡参数重要性的正则化作用。
3. 显著的性能提升： 在广泛的 CNN 和 Transformer 架构上进行了实验，RaPA 在极具挑战性的跨架构迁移（如从 CNN 到 Transformer）中取得了 SOTA 性能，且随着计算预算（迭代次数和推理次数）的增加，性能提升幅度更大。

4. 实验结果 (Results)

实验在 ImageNet 兼容数据集上进行，使用了多种 CNN（ResNet, DenseNet, VGG 等）和 Transformer（ViT, LeViT, ConViT 等）作为代理模型和目标模型。

• 跨架构迁移（CNN $\to$ Transformer）：
  • 这是最具挑战性的场景。以 ResNet-50 为代理模型时，RaPA 将平均攻击成功率（ASR）从 SOTA 基线（如 CFM, FTM）的 33.3% 提升至 45.0%（提升 11.7%）。
  • 以 DenseNet-121 为代理模型时，ASR 从 22.8% 提升至 40.3%（提升 17.5%）。
• 跨架构迁移（Transformer $\to$ CNN）：
  • 以 ViT 为代理模型攻击 CNN 目标时，RaPA 取得了 51.2% 的平均 ASR，显著优于其他方法。
• 计算预算扩展性：
  • RaPA 对计算资源的增加非常敏感。当优化迭代次数从 300 增加到 500，且每次迭代的推理次数从 1 增加到 5 时，平均 ASR 提升了 15.9%，远超其他方法。
• 防御对抗能力：
  • 在对抗训练模型（advRN）、集成对抗模型（ensIR）和去噪防御（HGD）等强防御下，RaPA 依然表现出最强的攻击能力，ASR 比第二好的方法高出 10.5% 至 29.4%。
• 与训练增强方法的对比：
  • RaPA 是**无需训练（Training-free）**的，但其性能甚至超过了需要重新训练代理模型的方法（如 DSM, SASD-WS）。
  • 当 RaPA 与这些训练增强方法结合时，性能进一步提升（例如结合 DSM 后，平均 ASR 从 20.6% 提升至 58.3%），证明了其极佳的兼容性。

5. 意义与结论 (Significance)

• 理论意义： 揭示了迁移攻击中“参数过度依赖”这一被忽视的瓶颈，并提出了通过随机化参数来“均衡重要性”的新视角，为理解对抗样本的泛化性提供了新的理论依据。
• 实用价值：
  • 高效性： 无需重新训练模型，计算开销低，易于部署。
  • 通用性： 适用于 CNN 和 Transformer 等多种架构，且能处理跨架构攻击。
  • 安全性警示： 研究表明，即使攻击者不知道目标模型的内部细节，现有的防御措施（包括对抗训练）在面对 RaPA 生成的攻击时依然脆弱。这强调了开发更鲁棒的防御机制的紧迫性。

总结： RaPA 通过简单的随机参数剪枝策略，巧妙地解决了对抗扰动过度依赖特定参数的问题，在不增加训练成本的前提下，显著提升了针对性迁移攻击的成功率，是目前该领域的 SOTA 方法。