基于主动学习的高效黑盒攻击
1、摘要\背景
为了进行黑盒攻击,一种流行的方法是基于从目标DNN查询的信息来训练替代模型。然后可以使用现有的白盒攻击方法攻击替代模型,生成的对抗样本将用于攻击目标DNN。尽管其结果令人鼓舞,但这种方法存在查询效率低下的问题。攻击者通常需要查询大量的时间来收集足够的信息来训练准确的替代模型。为此,我们首先利用最先进的白盒攻击方法生成查询样本,然后引入主动学习策略以显著减少所需的查询数量。此外还提出一个多样性准则来避免主动学习带来的偏差。
主要贡献总结如下:
- 在基于传输的框架中使用更先进的数据扩充方法,并验证CW攻击方法和Deepfool攻击方法比基于雅可比矩阵的方法更有效。
- 使用主动学习策略来选择信息量最大的样本进行查询。为了避免主动学习带来的偏差,我们进一步引入了多样性准则。
- 显著减少查询数量,同时保持攻击成功率。
2、方法
主动学习是一种广泛使用的框架,在该框架中,学习者能够选择信息量最大的未标记示例进行人工注释,本文采用随机选择、最大熵和基于边际的方法:
- Random Select method (RS):从初始集合中随机选择k个样本作为新 ,其中k是每次迭代中的查询数。
- Max Entropy method (ME): 计算每一个 x 的熵,然后选择 k 个熵最大的样本作为 。
- Margin based method (MB):对于中的每个 x ,我们用h1和h2表示F(x)的第一个和第二个最高值,然后设置Disx=h1− h2。我们用最小的Disx从Sadd取k个样本。
主动学习策略虽然可以选择少量的信息样本,但可能会在训练集中引入偏差。例如,所有选择的样本可能都集中在输入空间的一个小区域。为了解决这一局限性,我们建议在每一轮主动学习中增加样本的多样性。这样,我们就能够选择信息量大且分布均匀的样本。我们用 x 和之间的距离来表示样本x的多样性,随后在这三种方法中加入多样性准则:
3、总结
测试了多种白盒攻击方法,发现C&W攻击和Deepfool攻击的整体性能最好。此外,引入主动学习来解决基于传输攻击的查询效率问题。为了减少主动学习带来的偏差,我们提出了最大化查询集多样性的方法,并通过实证研究验证了其有效性。在未来,我们将把我们的方法应用到各种机器学习模型,而不是神经网络,并采用更先进的主动学习策略。