摘要
本文提出了两种基于集成的黑盒攻击策略,分别是selective cascade ensemble strategy (SCES,不知道怎么翻起来信达雅) 和 stack parallel ensemble strategy (SPES,不知道怎么翻起来信达雅)。
基于集成的黑盒攻击方法
本文提出的两种方法都是基于集成的,SCES方法可以理解为串联方法,而SPES可以理解为并串联方法。为什么要采用集成的攻击方法呢?目前的黑盒对抗攻击方法主要还是单一的,即利用单一的模型生成对抗样本,考虑到目前攻击及防御两个领域都在发展,目前已有的一些防御方法比如防御蒸馏、集成对抗训练等方法,都可以一定程度上防御对抗攻击。当然对抗攻击目前是无法被完全防御的,为了实现更强劲的攻击方式,本文提出了两种基于集成的黑盒攻击方法。如果一个对抗样本能够成功攻击一个模型,那么其攻击实现同一功能的其他模型仍然可能有效,集成意味着复杂性,通过更复杂的方法生成的对抗样本直觉上会更加难以抵御。
SCES
如图所示,在初始化阶段,需要选出k个替代模型,这些模型用来串联生成对抗样本。由于替代模型是我们自己选择来替代需要攻击的模型,所以这些模型对我们而言是白盒的,可以采用包括FGSM在内的多种梯度计算方法来进行白盒对抗攻击生成对抗样本。每个替代模型生成的对抗样本 x i ∗ x_i^* xi∗通过计算其输入k个替代模型后得到的错误率error rate,根据最小错误率来决定下一个要使用的 M o d e l i Model_i Modeli