一、简介
这篇文章是2016年的,很有年代感
其提出的方法几乎是最早一批的黑盒攻击方式,很有味道值得一读
本文讲述了面对黑盒(Black-Box)模型时,通过构造替代(substitute)模型,通过转移(transfer)手段对受害者(victim)模型(也就是要被攻击的模型)进行攻击
二、文章特色
2.1名词解释
文章营养浓缩成精华,我们先来解释几个概念
名词 | 概念 |
白盒模型 | 模型参数均可知的模型 |
黑盒模型 | 攻击者无法访问模型,甚至不知道softmax层的输出概率,只能知道模型输出类别 |
受害者模型 | 攻击方需要攻击的模型 |
替代模型 | 受害者模型的替身,是攻击者构建的,和受害者模型相似,对于攻击者来说是白盒模型 |
转移 | 攻击者通过攻击替代模型,习得的攻击方法一定程度对受害者模型有效 |
2.2对比模型
文章对比了五大机器学习模型:DNN(深度神经网络),LR(逻辑回归),SVM(支持向量机),DT(决策树),KNN(k近邻)
三大特性分别为:可微分,线性,延迟预测