Deep neural networks perform well in various computer vision tasks, but they are vulnerable to adversarial attacks. Since adversarial examples are transferable between models, adversaries can induce a model to predict a wrong class even if the target model's interior is hidden. For these transfer-based attacks, preventing adversarial examples from overfitting the source model is the most important challenge in improving transferability. To improve the adversarial transferability, I introduce the Frequency-Blended Image(FBI) method, which diversifies inputs when generating an adversarial image. Specifically, sensitive-frequency and insensitive-frequency components to the model are extracted from the original image and mixed into the original image with different weights to further increase input diversity. Extensive experiments on the ImageNet dataset show that the attack with the FBI significantly improves the transfer-based attack success rates.

심층 신경망은 다양한 컴퓨터 비전 작업에서 잘 수행되지만 적대적 공격에는 취약하다. 적대적 예제는 모델 간에 전이성을 띄기 때문에, 공격자는 공격하고자 하는 모델의 내부에 접근할 수 없더라도 모델이 틀린 클래스를 예측하도록 유도할 수 있다. 이러한 전이 기반 공격의 경우 적대적 예제가 소스 모델에 과적합되는 것을 방지하는 것은 전이성을 향상시키는 데 가장 중요한 과제이다. 본 연구에서는, 적대적 이미지를 생성할 때 전이성을 향상을 위해 입력의 주파수를 다양화하는 주파수 혼합 이미지(FBI) 방법을 제안한다. 구체적으로, 모델에 민감한 주파수 및 민감하지 않은 주파수 성분을 원본이미지에서 추출하고, 서로 다른 가중치로 원본 이미지에 혼합한다. ImageNet 데이터 세트에 대한 광범위한 실험은 FBI를 이용한 공격이 전이 기반 공격 성공률을 크게 향상시킨다는 것을 보여준다.