无梯度优化在黑盒对抗样本设计中的新应用

"本文主要探讨了在无梯度优化环境下设计黑盒对抗样本的方法，针对机器学习模型的威胁模型进行研究。文章提出了两种新的黑盒攻击生成策略——ZO-ADMM和BO-ADMM，结合了零阶优化与贝叶斯优化，适用于没有梯度信息的场景。实验证明，这两种方法在功能查询复杂度上优于当前最先进的攻击方法，同时保持了较高的攻击成功率。对抗性攻击的研究对于揭示深度神经网络（DNN）的脆弱性以及构建更健壮的机器学习模型至关重要，特别是在安全性要求高的领域，如人脸识别、自动驾驶和恶意软件检测。尽管大部分早期工作集中在白盒攻击，即对手拥有完整的目标系统知识，但本文关注的是更现实的黑盒威胁模型，其中攻击者只能通过有限的查询接口与模型交互。" 在深度学习的广泛应用背景下，对抗性样本的研究显得尤为重要。对抗性攻击可以被看作是一种测试机器学习模型鲁棒性的手段，它们通过向原本能正确分类的输入中添加微小扰动，使模型产生误判。这种现象对于那些依赖于DNN的高风险应用来说，是不可忽视的安全问题。例如，在自动驾驶系统中，一个微小的图像篡改可能导致车辆识别错误，从而引发事故。 针对黑盒对抗样本设计，本文提出的ZO-ADMM和BO-ADMM方法利用无约束优化和算子分裂技术来应对无梯度信息的挑战。ADMM（交替方向乘子法）是一种有效的优化工具，而结合零阶优化（通过函数值而非梯度信息进行优化）和贝叶斯优化（通过概率模型来选择最有可能导致最优解的查询点），使得在不完全了解模型内部结构的情况下也能有效地进行攻击。 实证评估显示，这些新方法在保持高攻击成功率的同时，减少了对目标模型的查询次数，这对于减少攻击成本和提高攻击效率具有重要意义。此外，源代码的公开也促进了其他研究人员对该领域的进一步探索和改进。 这篇论文为黑盒对抗性攻击的研究开辟了新的道路，有助于提升对抗性攻击的效率，同时也提醒我们在设计和部署机器学习模型时必须考虑其在对抗环境中的表现，以确保模型的稳定性和安全性。这不仅有助于推动机器学习模型的防御策略发展，也为构建更加安全可靠的人工智能技术奠定了基础。