본 논문은 안전 중요도가 높은 애플리케이션에 점점 더 많이 배포되는 심층 학습 모델의 적대적 섭동에 대한 취약성 평가의 중요성을 강조합니다. 기존의 백색 상자 적대적 견고성 평가 방법(공격)들의 한계를 지적하며, 확률 공간에서 적대적 마진을 정의하는 새로운 개별 공격 방법인 Probability Margin Attack (PMA)을 제안합니다. PMA와 기존의 교차 엔트로피 또는 로짓 마진 기반 공격 간의 관계를 분석하고, PMA가 최첨단 개별 방법을 능가할 수 있음을 보여줍니다. PMA를 기반으로 효과성과 효율성을 균형 있게 고려한 두 가지 유형의 앙상블 공격을 제안합니다. 또한 기존 CC3M 데이터셋에서 파생된 백만 스케일 데이터셋 CC1M을 생성하여, 적대적 학습된 ImageNet 모델에 대한 최초의 백만 스케일 백색 상자 적대적 견고성 평가를 수행합니다. 개별 공격 대 앙상블 공격, 소규모 평가 대 백만 스케일 평가 간의 견고성 차이에 대한 귀중한 통찰력을 제공합니다.
