1 摘要
神经网络模型容易受到对抗样本的攻击,根据攻击者是否能获取到模型内部参数可以把攻击类型分为白盒攻击和黑盒攻击。
- 白盒攻击比较常见,但其对目标模型的威胁程度要远低于黑盒攻击。
- 传统黑盒攻击往往都是基于梯度实现的,并且具有查询次数高、攻击时间长以及成功率低的缺点。
针对这一问题,本文讨论了一种高效查询的黑盒对抗攻击算法,该黑盒攻击也被称为平方攻击,具体内容如下:
- 平方攻击选择局部方形更新在随机位置,以便在每次迭代中,扰动大约位于可行集的边界处;
- 平方攻击是一种基于分数的黑盒对抗攻击,具有不依赖于模型局部梯度信息的特性;
- 分析并论证平方攻击的可行性;
- 利用平方攻击制作对抗样本;
- 在MNIST和CIFAR-10数据集上进行实验,并与其他类型的黑盒攻击在查询次数、攻击时间以及成功率等主流评估指标上进行对比;
- 实验结果表明相对于其他类型的黑盒攻击方式,平方攻击具有查询次数低和成功率高的优势。
2 平方攻击的基本原理
2.1 威胁模型中的对抗因子
2.2 针对L2L_2L2范数的平方攻击
2.3 针对无穷范数的平方攻击
2.4 随机搜索的收敛性分析
3 对抗样本生成
3.1 针对L2L_2L2范数的平方攻击生成对抗样本
3.2 针对无穷范数的平方攻击生成对抗样本
参考文献
Square Attack: A Query-Efficient Black-Box Adversarial Attack via Random Search