Convolutional Neural Network (CNN) models have achieved state-of-art performances in various computer vision tasks. However, it has been shown that there exist adversarial perturbations, that can fool CNN classifiers when added to an input image, while they are almost imperceptible to human eyes. After that, it turned out that there exist malicious universal adversarial perturbations, which are image-agnostic and can fool CNN classifiers when added to any input image. In most real-world cases, attackers cannot access the target model. Therefore, most attacks are performed under black-box settings, where attackers rely on the transferability. Thus, we propose a new method to increase the attack success rates of a universal adversarial perturbation (UAP) under black-box settings by conducting Dual Random Transformations (DRT). We improved the transferability of universal adversarial perturbations by performing different random transformations to input images and universal adversarial perturbations. DRT showed remarkable performance improvement under black-box settings, compared to applying the same transformation to images and the perturbation. DRT method also demonstrated improved transferability when combined with MI, TI, and SI methods.

합성곱 신경망 (CNN) 모델은 다양한 컴퓨터 비전 과제에서 좋은 성능을 달성하였다. 하지만 인간이 거의 인지하지 못하는 정도의 작은 섭동을 이미지에 적용했을 때 딥러닝 모델의 성능이 크게 떨어지도록 할 수 있는 적대적 섭동의 존재가 밝혀졌다. 심지어 특정 이미지에 의존하지 않고 임의의 이미지에 더했을 때도 딥러닝 모델의 성능을 크게 떨어뜨려 모델을 위협하는 보편적 적대적 섭동의 존재 또한 밝혀졌다. 현실에서 적대적 공격을 수행할 때는 공격하고자 하는 모델에 접근할 수 없는 경우가 많다. 그렇기 때문에 대부분의 공격은 적대적 섭동의 전이성에 의존해야 하는 블랙박스 세팅에서 이루어진다. 따라서 본 논문에서는 블랙박스 세팅에서 보편적 적대적 섭동의 공격 성공률을 높이기 위한 이중 무작위 변환 기법을 제시한다. 입력 이미지와 보편적 적대적 섭동에 각각 다른 무작위 변환을 적용함으로써 보편적 적대적 섭동의 특성을 고려함과 동시에 보편적 적대적 섭동의 전이성을 향상시켰다. 이중 무작위 변환 기법은 이미지와 적대적 섭동에 같은 변환을 적용하는 것에 비해 성능 향상을 보였으며, MI, TI, SI 기법과 결합하였을 때도 전이성이 향상됨을 보였다.