基于查询的黑盒对抗攻击其实是一个适合进化算法求解的问题,最近我们工作有新进展,分享给大家。
C. Li, T. Jiang, H. Wang, W. Yao and D. Wang, "Optimizing Latent Variables in Integrating Transfer and Query Based Attack Framework," in IEEE Transactions on Pattern Analysis and Machine Intelligence, doi: 10.1109/TPAMI.2024.3461686
我们知道,其实可以在输入图像样本上叠加肉眼不可见的噪声,使得深度网络模型输出错误的判定,这个任务就是对抗攻击,其本质是一个优化问题,决策变量是噪声,优化目标函数可以是网络训练损失函数,当攻击目标网络是白盒的时候(结构和参数可知),直接优化loss上升就好了。
实际情况是,很多时候网络是黑盒的,这种情况想要攻击成功,要么搞一个白盒surrogate(对就是代理模型的那个单词)获得对抗样本,利用对抗样本的迁移性来攻击黑盒模型,要么就是不停送不同对抗样本对黑盒模型进行查询作为优化导向,也就是基于查询的黑盒对抗攻击,这不就是进化算法适合求解的黑盒优化嘛?
但问题是,要优化的决策变量维度是图片像素点维度的,显然这是个大规模黑盒优化,没错,高维度是很大的一个挑战。于是我们能做的事情就是对问题的搜索空间进行降维,之前我们工作是用一直线性降维方式来做(复习请戳->NAS太卷了,EC摆摆手说,来玩深度神经网络的对抗攻击吧 )。
后来我们发现其实还有种更合理的降维方式,我们能否利用白盒surrogate的可迁移的信息获得一个低维空间,然后直接在这个低维空间上搞黑盒查询攻击就好了,这样维度灾难的大头解决了,其实后面用什么进化优化方法都可以(哈哈,这可能算是战略勤劳相比于战术勤奋的优越性嘛?)。
于是,一切一切的重点就是训练一个能在白盒surrogate上生成有效对抗样本的生成器,其loss有两个部分就是攻击loss和噪声大小。这个生成器的优点有:
利用surrogate获得了可迁移的对抗样本信息,缩小了搜索空间
隐空间维度可控,方便后续接进化优化方法(原文结了基础版本的PSO)。
500次查询下,实验结果如下:
更多详情请戳文末“阅读原文”。
最后,欢迎转载,欢迎留言,欢迎扔砖,欢迎吐槽,欢迎提问,还有欢迎关注。
