三角攻击:一种查询高效的基于决策的对抗性攻击
链接:Triangle Attack: A Query-efficient Decision-based Adversarial Attack
Background
Decision-based Attack基于决策的攻击:不知道目标模型的任何信息,只知道目标模型对于给定输入样本的决策结果。通常首先产生一个较大的对抗性扰动,然后通过各种优化方法使扰动最小化,同时保持对抗性特性
比如这个经典的边界攻击方法,该算法最开始会生成一个初始的对抗样本,然后沿着对抗图片和原始图片之间的边界进行随机游走,最小化扰动去靠近X。
摘要
基于决策的攻击对现实世界的应用程序构成了严重威胁,因为它将目标模型视为黑匣子并且只访问硬预测标签。最近为减少查询次数做出了很大努力;然而,现有的基于决策的攻击仍然需要数千次查询才能生成高质量的对抗样本。在这项工作中,我们发现良性样本、当前和下一个对抗样本可以自然地在子空间中为任何迭代攻击构建三角形。基于正弦定理,我们提出了一种新颖的三角形攻击(TA),利用任何三角形中较长边总是与较大角度相对的几何信息来优化扰动。然而,直接将这些信息应用于输入图像是无效的,因为它无法在高维空间中彻底探索输入样本的邻域。为了解决这个问题,由于这种几何特性的普遍性,TA 优化了低频空间中的扰动以实现有效的降维。对 ImageNet 数据集的广泛评估表明,与现有的基于决策的攻击相比,TA 在 1,000 个查询中实现了更高的攻击成功率,并且在各种扰动预算下实现相同攻击成功率所需的查询数量要少得多。凭借如此高的效率,我们进一步验证了 TA 在真实世界 API(即腾讯云 API)上的适用性。
Motivation
现有的基于决策的攻击仍然需要数千个查询才能生成高质量的对抗样本。 与大多数基于决策的攻击采用梯度估计或在决策边界上随机游走不同,本文的目标是利用几何性质优化扰动————三角攻击(Triangle attack, TA)
如图所示,作者发现在第t次迭代时,干净样本x、当前对抗样本xadvt和下一个对抗样本xadvt+1可以很自然地在采样子空间中构造成一个三角形。
因此,搜索下一个扰动较小的对抗样本xadvt+1相当于搜索一个基于x和xadvt的三角形,其中第三个数据点x’是对敌的,且满足
这样搜索下一个扰动较小的对抗样本问题就可以转化为利用三角形的角度和边长迭代的搜索一个合适的三角形问题。
Method
首先通过离散余弦变换方法对频率空间的二维子空间S进行采样。
然后在干净样本x的决策边界附近随机生成一个大型对抗扰动,我们的目标最小化该扰动。 这就相当于搜索一个适当的三角形,这个三角形的角满足β+2α>π(条件),也就是新生成的扰动比原来的扰动小,我们用 T来表示第三个点。
在确定子空间后,我们首先检查预先设定的角β(β= π/16),按照上边的条件构造三角形,检查第三个点 ,如果没有找到对抗样本Xt+1,我们就检查与它反方向但角度相同的对称三角形。如果这俩点都不是对抗性的,我们放弃这个子空间,重新选一个。
之后我们采用二分搜索的方法一步步搜寻一个使扰动尽可能小的β↑,α在优化过程中被更新。
对于相同的采样角β,角α越大,扰动减小,扰动一直减小,就可能越过决策边界,我们就用这个式子迭代更新角度α:
γ为变化率,λ为常数,τ限制α的上界和下界。实验中γ = 0.01, λ = 0.05和τ = 0.1。
1.初始化一个大的对抗扰动
3.当查询次数小于Q时
4.对低频率空间的二维子空间S进行采样
5.β0初始化为它的下限(π/16)
6.检查β,如果新生成的两个方向不同的样本都不是对抗性的) 更新α(减小)的同时回到开始,放弃这个子空间 如果这俩中存在一个符合条件的对抗点,构造β上界
11~13.采用二分搜索的方法,增大β以寻求更小的扰动
14~17.检查β,如更新后的β两个方向的角都不是对抗的,更新β上界,减小β,同时更新α↓
18.如果存在对抗性的角,就用二分法增大β,同时更新α,以减小扰动
20.输出最终得到的对抗样本
Experiments
将最大查询次数设置为1000个,作者对比了5种模型(行)在不同RMSE限制下用这8种攻击方法(列)生成对抗样本的攻击成功率(%)。 采用干净样本x与对抗样本xadv之间的均方根误差(RMSE)来限制扰动的大小
6725
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
