自适应历史驱动攻击方法优化基于决策黑盒模型

161680啊哈！自适应历史驱动攻击用于基于决策的黑盒模型0李杰1，季荣荣1,2,4*，陈培贤1,6，张宝昌3，洪小鹏5，张瑞新6，李少鑫6，李吉林6，黄飞跃6，吴永健601 MAC实验室，厦门大学信息学院，2 鹏城实验室，3 北京航空航天大学，4厦门大学人工智能研究所，5 西安交通大学，6 腾讯优图实验室0摘要0基于决策的黑盒攻击意味着只利用受害模型的top-1标签来生成对抗性样本。常见的做法是从一个较大的扰动开始，然后通过确定性方向和随机方向进行迭代减小扰动，同时保持其对抗性。每次查询获得的有限信息和低效的方向采样阻碍了攻击效率，使得在有限的查询次数内很难获得足够小的扰动。为了解决这个问题，我们提出了一种新的攻击方法，称为自适应历史驱动攻击（AHA），它利用所有历史查询的信息作为当前采样的先验。此外，为了在确定性方向和随机方向之间取得平衡，我们根据实际幅度减小与预期幅度减小的比例动态调整系数。这种策略提高了优化过程中查询的成功率，使得对抗性样本能够快速沿着决策边界移动。我们的方法还可以与子空间优化（如降维）相结合，进一步提高效率。在ImageNet和CelebA数据集上进行的大量实验证明，我们的方法在相同的查询次数下，平均扰动幅度至少降低了24.3%。最后，我们通过对流行的防御方法和由MEGVIIFace++提供的真实系统进行评估，证明了我们方法的实际潜力。01. 引言0随着快速发展和卓越性能，深度神经网络（DNN）已成功部署在许多领域中以提高生产力，例如智能音箱中的语音助手，云端的图像识别API以及车辆中的自动驾驶。尽管已经付出了许多努力来解释DNN[1, 18, 19,43]，但DNN仍然远未完全可控。0* R. Ji (rrji@xmu.edu.cn) 是通讯作者。0标签并且已被证明容易受到精心设计的不可察觉的扰动的影响，即对抗性扰动[41]，这对于DNN在安全场景中的应用构成了威胁。0因此，已经提出了许多方法来评估DNN在不同设置下的鲁棒性[13, 4,21]。在所有设置中，黑盒设置是最实际但也最具挑战性的，因为只有相应的输出是可用的。一些攻击方法[29, 38,37]在白盒模型上生成对抗性样本，然后将其转移到受害模型上。这些基于转移的方法消耗更少的资源，但无法保证高攻击成功率。一些攻击者则反复查询模型。根据输出的形式，基于查询的黑盒攻击方法可以进一步分为基于分数的攻击和基于决策的攻击。前者的输出通常是连续的浮点数（例如类别概率），对输入的变化快速响应，能够逐步引导扰动的生成。基于决策的攻击设置更具挑战性，攻击者只能获取输入是否属于目标样本所在类别的结果。这种设置通常与目标攻击相关，其目标是生成被分类为目标类别的对抗性样本。0最经典的基于决策的攻击方法，边界攻击[2]，从一个对抗性示例开始，沿着两个方向进行搜索：源方向直接朝向源图像以减小扰动，球面方向从正态分布中随机采样以进行探索。然而，这种方法主要依赖于随机采样，没有有效利用先前查询的信息，导致查询数量庞大。已经提出了许多方法来改进它。有偏边界攻击[3]引入了三个偏差来提高方向采样的效率。进化攻击[10]通过成功的查询和(1+1)-CMA-ES优化来减小解空间并建模局部几何。然而，这些方法仍然需要大量的查询来减小扰动的幅度，而且两个方向的权衡也有很大影响。我们认为，减小扰动的方向的较大系数会导致更多的查询越过边界然后失败，而探索方向的较大系数会增加查询数量。现有方法根据查询是否对抗性来调整相应的系数。这样的二进制值给出了一个粗略的指导，从而使系数调整不够灵活。为了获得更小幅度的扰动并减少查询数量，我们提出了自适应历史驱动攻击（AHA），它利用所有查询的信息，并采用自适应系数调整策略。在边界攻击之后，AHA从一个大的扰动开始，然后通过确定的方向（即源方向）和随机方向迭代地减小它。与从标准正态分布中随机采样的随机方向不同，我们从历史查询中收集信息，并将其作为当前采样的先验。这种方法简单而高效，无需额外的计算成本。为了在源方向和由历史查询驱动的方向之间取得平衡，考虑到系数调整的目的是尽可能减小扰动的幅度，我们根据实际减小扰动幅度与预期减小扰动幅度的比例动态调整系数。这种策略减少了陷入决策边界的机会。此外，优化方法与现有的子空间方法（如降维）是正交的。这些方法可以集成以进一步提高性能。我们在包括一个真实世界在线系统在内的各种模型上进行了大量实验，以证明所提出的AHA的效率。我们总结我们的贡献如下：• To balance between two directions during the opti-mization process, we design a novel strategy to ad-just the coefficient dynamically.Instead of on howoften the optimization successes, the coefficient is ad-justed based on the degree of the actual reduction onthe magnitude compared with the expected one, whichincreases the probability of finding valid queries.161690•为了在优化过程中平衡两个方向，我们设计了一种新颖的策略来动态调整系数。系数的调整不是基于优化成功的频率，而是基于实际减小扰动幅度与预期减小扰动幅度的程度，这增加了找到有效查询的概率。0•我们提出了一种简单而高效的基于决策的攻击方法，称为自适应历史驱动攻击（AHA），它利用成功和失败的历史查询信息作为当前采样的先验，而无需复杂的优化和额外的计算成本。0•最后，我们对自然图像和人脸模型上的AHA进行评估。AHA生成的扰动比最先进的方法小。0相同数量的查询。此外，AHA在现实世界系统（即来自MEGVIIFace++的人脸验证API）上的有效性也得到了验证，扰动比基准方法小24.9%。02. 相关工作0基于分数的攻击。由于获取的输出是连续的浮点数，输入的微小变化将立即产生响应。估计梯度的值，然后执行白盒攻击是很自然的。ZOO[6]使用有限差分法估计梯度的值。通过这种逐维的方式，每次估计梯度需要 2d 个查询。NES[20]不使用有限差分法，而是利用从正态分布中随机采样的随机向量来减少所需的查询数量。Bandits TD[21]方法进一步引入了数据相关和时间相关的先验知识，以提高梯度估计的效率。一些方法采用随机搜索策略而不是梯度估计。SimBA[15]首先创建一组正交向量，然后从中随机选择一个，如果目标函数减小，则添加或减去该向量。PPBA[24]通过低频约束减少维度，并在低维空间上执行随机游走优化。基于决策的攻击。与基于分数的攻击不同，决策攻击中模型的输出仅为标签。这种硬标签设置增加了难度，因为输入的微小变化可能不会反映在输出上。Opt-Attack[7]将此问题重新构造为关于与决策边界的方向和距离的连续优化问题，并对其进行梯度估计。然而，由于距离计算和大维度上的梯度估计将消耗大量的查询，这种方法是无效的。HSJA[5]直接在决策边界上进行梯度估计，输出为二进制。QEBA[23]通过在HSJA上采用子空间进一步改进了性能。然而，每次梯度估计需要数百个查询，使得这些方法仍然效率低下。边界攻击[2]从一个大的对抗扰动开始，并同时使用源方向和球面方向减小扰动。它基于随机游走优化，并在不是对抗性的情况下拒绝更新。这种方法很简单，但使用标准正态分布会影响效率。Biased Boundary Attack[3]引入了一些偏差来改进边界攻击。它采用了Perlin分布而不是正态分布来进行低频约束，并使用对抗样本与源图像之间的差作为像素的权重。这种方法减小了解空间，但还不够。进化方法 [10]用自定义方差替代了正态分布。�minx′ L(x′) = D(x′, xs) + λ · (1 − f(x′, xt)),(1)xk+1 = xk + α ·xs − xkxsxk2 + β ·ηη2 , η ∼ N(0, I) (2)xk+1 = xk + (α ·xs − xk∥xs − xk∥2+ β ·η∥η∥2) · ∥xs − xk∥2= xk + α · (xs − xk) + β ·η∥η∥2· ∥xs − xk∥2.(3)161700当采样成功时，方差使用(1+1)-CMA-ES进行更新，以建模每个像素的权重。然而，方差是无符号的，这使得采样不稳定。CAB[32]使用对抗样本与源图像之间的差的平方作为方差，并在失败时累积方向以计算均值。SurFree[28]试图沿着由决策边界的几何特性引导的多样化方向移动。尽管这些优化方法设计得很好，但它们过于复杂且效率仍然不够高。03. 提出的方法0在本文中，我们专注于在基于决策的目标黑盒攻击设置下，在有限的查询中减小扰动的幅度。基于边界攻击，我们执行具有历史查询作为先验的随机游走优化，详细说明见第3.2节。两个搜索方向的系数在向源输入移动或从历史中学习方面起着重要作用。为了平衡它们，我们在第3.3节中提出了一种新的自适应调整策略。在第3.4节中，可以通过子空间优化进一步改进优化方法。在本节的剩余部分，我们将首先介绍预备知识，然后对我们提出的方法进行详细描述。03.1. 预备知识0假设我们有一个源输入样本  x s ，一个目标样本  x t，以及一个基于深度神经网络的函数 f ( x 1 ,  x 2 ):  X × X�→ Y ，用于确定这两个输入样本是否属于同一类，其中  X= [0 ,  1] d 是  d  维图像的空间，  Y  =  { 0 ,  1 }  （ 1表示两个输入属于同一类）。决策目标攻击的目标是找到一个对抗样本  x ′ ，使其尽可能地接近源输入  x s ，同时保持 f ( x ′ ,  x t ) = 1 。我们有一个目标函数：0其中  λ  是一个非常大的数，以确保当对抗目标不满足时，L ( x ′ )  足够大，  D ( ∙ ,  ∙ )是距离函数。在本文中，我们选择  L 2范数作为距离函数，即  D ( x ′ ,  x s ) =  ∥ x ′ − x s ∥ 2。根据常见做法[2,10]，我们从一个对抗样本开始（与目标样本属于同一类），例如目标样本  x t，然后迭代地将其尽可能地靠近原始样本  x s，并限制查询次数。常见的更新公式可以表示为：0其中  x k  是第  k  步的对抗样本，  x s  是源输入，  ( x s−  x k )  和  η  是源方向。0分别是球面方向和球面方向。  α  和  β是相应的系数。更新值还可以乘以当前样本与原始样本之间的距离，以便迭代地减小更新值，以获得更好的收敛性：0在这里，如果  x k +1仍然是对抗性的，则查询被称为成功的查询，否则被称为失败的查询。请注意，在一些先前的工作中，只有当  L ( x k+1 )  小于或等于  L ( x k )  时，才会接受  x k +1，这是随机行走优化中的常见做法。为了避免陷入局部最优解，我们只拒绝失败的样本。如果被拒绝的  x k +1，那么我们将  x k +1  设置为  x k ，以便表示的简便性。03.2. 基于历史先验的优化0仔细重新审视等式3，唯一的不确定性在于随机方向，它极大地影响了优化方法的效率。先前的方法也对此进行了努力。关键问题是如何更有效地采样随机方向。一些先前的工作已经证明，深度神经网络的决策边界在数据样本附近具有非常小的曲率[12]，这表明在对抗样本附近的决策边界可以局部近似为一个超平面[25,30]。由于边界是平坦的，我们可以自信地假设当前随机方向和上一次迭代甚至更早的迭代在一定程度上是一致的。此外，一些先前的工作表明，历史信息对当前采样是有帮助的[10, 21, 24,32]。然而，我们认为现有的利用历史先验的方法过于复杂且不彻底。例如，Evolutionary Attack [10]仅利用成功的查询，而 CAB [32] 仅利用失败的查询，而Bandits T D  [21]则利用所有查询，但不能很好地区分成功和失败的查询。平坦的边界和对历史信息的充分利用的缺失，促使我们采用一种更简单但更有效的方式来引导随机方向。与 [2, 10]一样，我们将历史先验视为一个自定义的高斯分布。尽管分布的方差可以自然地模拟每个像素的重要性，但修改方差也会引入不稳定性，因为方差是无符号的，不能很好地引导方向。我们不关注方差，而是关注分布的均值  µ，并将成功的历史查询和失败的历史查询的信息嵌入其中。对于成功的查询  x k +1 ，其中Ractual = D(xk, xs) − D(xk+1, xs)= ∥xk − xs∥2 − ∥xk+1 − xs∥2.(5)Rexpected=�α · (xs − xk) + β ·η∥η∥2∥xs − xk∥2�Txs − xk∥xs − xk∥2=α · ∥xs − xk∥2 + β · ηT(xs − xk)∥η∥2.(6).(7)α = α · h(¯r), α =� α,α > αthresholdαinitial,otherwise ,(8)�161710f ( x k +1 ,  x t ) = 1，如上所述，如果下一个方向与当前方向相似，则下一个方向有很高的成功概率，因为决策边界是平坦的。而对于失败的查询，如[32]所述，它也包含有关决策边界的信息，因为失败的查询穿过了边界。类似于[32]，我们考虑其相反方向。具体而言，我们用以下公式更新均值  µ ：0µ  = �  (1  −  γ )  ∙  µ  +  γ  ∙  η ， f ( x k +1 ,  x t ) = 1(1  −  γ )  ∙  µ  −  γ  ∙  η ， f ( x k +1 ,  x t ) = 0 ， (4)0其中  γ  ∈  (0 ,  1)是一个控制忘记旧信息速度的系数，因为对抗样本的几何特性会随着偏移的变化而改变。由于方向是由历史查询驱动的，我们将其称为历史驱动方向。03.3. 系数自适应调整0另一个重要问题是如何在源方向和历史驱动方向之间取得平衡。较大的源方向系数  α有助于快速减小扰动的幅度，但会增加命中决策边界的概率，从而导致查询失败。相反，较小的  α允许优化方法更多地探索决策边界，但会减缓接近源输入的进展并增加查询次数。因此，需要一种自适应调整策略。0以前的方法也注意到了这个问题并付出了努力。边界攻击方法采样更多具有正交方向的点来测试成功率，并在成功率较低时减小系数，如果成功率接近50%或更高，则增加系数。有偏边界攻击在开始时使用较大的系数，并在失败查询数量增加时减小系数。进化方法作为一种进化策略，利用了进化策略中的传统超参数控制方法，称为1/5成功规则[31]，通过乘以 exp( P success  −  1 / 5) 来更新系数，其中  Psuccess表示过去几次迭代的成功率。注意，现有的方法都是基于成功率，并且每个查询只能提供粗略的二进制反馈（即成功或失败）。0考虑到系数调整的目的是尽可能减小扰动的幅度，我们考虑扰动幅度的减小情况。因此，我们不再考虑成功率，而是根据实际幅度减小与预期幅度减小的比例来调整系数  α。实际幅度减小可以直接计算得到0两个距离之间的差异为:0对于预期的减少，我们将更新部分在源方向上的投影长度视为预期的减少:0根据  R actual  的值，有三种情况。当  R actual  = 0时，我们知道发生了失败的查询，应该通过减小  α来进一步探索。当  R actual  >  0时，我们正在朝着源样本移动，现在  0  <  R actual  ≤ Rexpected 。因此，R actual / R expected越大，源方向的重要性就越大，对应的系数  α也应该越大。当  R actual  <  0时，最有可能的是优化方法陷入了局部最优解，应该远离源样本以逃脱。在这种情况下，R actual  ≤ R expected  <  0。我们计算比率 R expected / R actual  为属于  [0 ,  1]的值。类似地，对于较小的比率，我们更喜欢较小的  α以帮助逃离局部最优解，对于较大的比率，我们更喜欢较大的  α以防止优化方法继续远离源样本。根据上述讨论，我们将  Ractual  和  R expected  的比率统一为:0r  =  min � abs( R actual ) ,  abs( Rexpected ) �0注意，比率 r ∈ [0 ,  1]，当 r 较大时应增加系数α，否则应减小系数 α。对于查询失败的情况，其中 x k +1=  x k，实际 R 和比率 r都等于零。因此，我们可以发现基于成功率的方法只是我们方法的一个特例，其中比率被映射为 sign ( r)。注意，太小的 α 可能导致永远无法找到解。因此，当 α小于阈值时，我们重新设置 α 的值。最后，我们更新系数 α如下：0其中 ¯ r 是过去几次迭代中 r 的平均值，h ( ∙ ): [0 ,  1]  �→R + 是将比率映射到合适值的函数，α threshold 是防止 α过小的值，α initial 是 α 的初始值。h ( ∙ )应该是单调递增的，满足 0  < h (0)  <  1 且 h (1)  >  1。在本文中，我们将 h ( ∙ ) 实验性地选择为 h (¯ r ) = (¯ r+ 0 . 8) 2 。5xtempx′+α (xsx′)+β·13¯r161720算法1：自适应历史驱动攻击0输入：受害者模型 f ( ∙ ,  ∙ ) ，源图像 x s ，目标图像x t ，最大查询次数 Q ，初始方向系数 α 和 β ，系数γ ，间隔 i01 初始化 q  ←  0 , q last  ←  0 ,  x ′ ←  x t ,  µ  ←  002  while  q < Q  do04 将 η 放大到与 x ′ 相同的维度得到 η ′0∥ η ′ ∥ 2 ∙∥ x s − x ′ ∥ 206 如果 f ( x temp ,  x ′ ) = 1  则07 x ′ ←  x temp08 µ  ←  (1  −  γ )  ∙  µ  +  γ  ∙  η09 否则011 根据公式7计算 r012 // 计算运行均值0q − q last +1 ∙  ¯ r  0q − q last+1 ∙  r014 如果  q  −  q last  =  i  则015 根据公式8更新 α016 q last  ←  q017 ¯ r  ←  0018 q  ←  q  + 1019  end020 返回 x ′03.4. 子空间采样0黑盒攻击中最常被指责的是解空间过大，许多方法包括降维[21, 10, 23]和低频约束[3,24]已经被提出来减小解空间，这些方法确实加速了攻击过程。这些子空间优化方法与我们的方法是正交的，可以集成起来进一步提高性能。考虑到使用双线性插值进行降维比其他方法更简单快速，我们在低维空间中采样方向η，然后使用双线性插值将其放大到原始输入空间。根据[23]，低维空间的维度将是原始维度的1/16。我们将上述三个部分组合起来的方法称为自适应历史驱动攻击（AHA），并在算法1中总结了详细信息。04. 实验04.1. 实验设置0数据集和受害者模型。我们主要在自然图像数据集ImageNet [8]和人脸数据集CelebA[26]上评估效果。对于ImageNet数据集，0我们选择了广泛使用的预训练模型，包括VGG-16[33]，ResNet50 [17]和Inception-V3[35]作为受害者模型。我们从验证集中随机选择了100对图像进行评估。每对图像来自不同的类别，并且所有三个模型都正确分类。对于VGG-16和ResNet50，输入图像大小为224×224×3，对于Inception-V3，输入图像大小为299×299×3。对于CelebA数据集，我们在最先进的人脸识别模型上评估攻击方法，即CosFace [36]和ArcFace[9]。这两个模型都是在MS1M数据集[16]上使用Inception-ResNet-152[34]作为骨干进行训练的。与ImageNet数据集类似，我们还从200个不同的人中随机选择了100对人脸，这两个模型能够很好地区分。这些人脸图像经过MTCNN[42]预处理，大小为112×112×3。对于防御方法，我们对从CIFAR-10数据集[22]中随机抽取的100个图像进行攻击，目标模型为WideResNets[40]。对于在线模型，我们测试了Face++提出的人脸验证API的鲁棒性。我们随机从CelebA中选择了10对人脸图像，设置与离线人脸验证实验相同。评估指标。为了判断攻击方法的效率，我们主要检查在相同查询次数下最终对抗扰动的平均L2范数，因为对抗样本保证是对抗的。L2范数越小，攻击方法越高效。为了展示优化方法找到小扰动的速度，我们绘制了平均L2范数与查询次数的曲线。为了定量比较，我们计算曲线下的面积（AUC），数值越低表示性能越好。攻击成功率（ASR）也是对抗攻击的常见指标。考虑到输入图像的维度和不同任务的难度不同，我们定义维度为d的成功对抗样本的扰动L2范数小于√的样本为成功的对抗样本。00.001∙d用于ImageNet数据集和√00.0001∙d用于CelebA数据集。我们报告了最终对抗样本的攻击成功率。比较方法和超参数设置。我们主要将我们提出的AHA与四种流行的基于决策的攻击方法进行比较，即HSJA [5]，QEBA [23]，Biased Boundary Attack (BBA)[3]，Evolutionary Attack [10]和SurFree[28]。对于所有基准方法，我们使用作者提供的源代码和其论文中公布的默认参数。请注意，为了公平比较，我们对所有方法都没有使用任何额外的替代模型，因此对于BBA来说没有替代模型偏差。我们相信所有方法都可以从额外的替代模型中受益。01 这些模型是根据 https://github.com/ ZhaoJ9014/face.evoLVe.PyTorch2 https://www.faceplusplus.com/face-comparing/ 进行训练的02500500070150001750020000020406080100120140025005000700150001750020000020406080100120140025005000700150001750020000255075001251501752000250050007015000175002000002040608010002500500070015000175002000002040608010002500500070015000175002000002006080161730方法 VGG-16 ResNet50 Inception-V30平均L2 AUC ASR 平均L2 AUC ASR 平均L2 AUC ASR0HSJA 11.833 580609.2 75% 12.009 613671.2 65% 32.145 1161506.0 19% QEBA 11.350 430284.8 67%12.074 441363.8 57% 19.807 710941.6 27% BBA 15.141 660683.2 70% 13.183 523421.3 64% 20.328746100.3 57% Evolutionary 8.305 445020.9 93% 8.238 451534.7 89% 14.494 725262.1 64% SurFree6.579 564050.6 93% 8.451 607074.5 81% 14.081 810286.5 71% Ours 6.013 386623.6 96% 6.203389357.9 96% 10.976 616167.4 91%0表1.我们提出的AHA和基准方法在ImageNet数据集上的结果。请注意，AUC表示L2范数与查询次数的曲线下面积，ASR表示最终对抗样本的攻击成功率。0查询次数0L20HSJA QEBABBAEvolutionarySurFree Ours0(a) VGG-160查询次数0L20HSJA QEBABBAEvolutionarySurFree Ours0(b) ResNet500查询次数0L20HSJA QEBABBAEvolutionarySurFree Ours0(c) Inception-V30图1. ImageNet数据集中平均L2范数与查询次数的曲线。 (数值越小越好)0查询次数0ASR0HSJA QEBABBAEvolutionarySurFree Ours0(a) VGG-160查询次数0ASR0HSJA QEBABBAEvolutionarySurFree Ours0(b) ResNet500查询次数0ASR0HSJA QEBABBAEvolutionarySurFree Ours0(c) Inception-V30图2. ImageNet数据集中攻击成功率与查询次数的曲线。 (数值越大越好)0模型。我们选择QEBA-S作为QEBA的原因是它在他们的论文中表现最好。对于我们AHA中的超参数，我们最初将α和β都设置为0.01，参考[2,10]。我们还将γ设置为0.01，将间隔i设置为30，参考[5,23]。对于ImageNet和CelebA模型，我们将最大查询数设置为20,000。防御方法的最大查询数设置为50,000。考虑到查询真实在线系统的成本和时间，我们将在线系统的最大查询数限制为5,000。04.2. ImageNet和CelebA模型上的结果0我们在ImageNet数据集的Tab. 1和CelebA数据集的Tab.2中评估了我们提出的AHA与基准方法的性能。就ImageNet数据集的Tab. 1而言，我们可以发现我们的0我们提出的AHA在所有三个广泛使用的模型上都取得了最佳性能。特别地，我们方法找到的扰动的平均L2范数分别比第二好的方法，即Evolu- tionaryattack，在VGG-16，ResNet50和Inception-V3上少27.6％，24.7％和24.3％。AUC的值表示优化方法可以多快地减小扰动的幅度。值得注意的是，尽管最终的平均L2不够小，QEBA的AUC小于其他基准方法。然而，我们的方法仍然比QEBA方法小10.1％，11.8％和13.3％。这也可以从图1中得出结论，我们方法的曲线位于底部。攻击成功率表示优化方法能够多频繁地找到有效的对抗样本。从表1中，我们还发现我们提出的AHA取得了HSJA0.26776.19305.16322.6342QEBA0.75542.81482.44912.3248BBA0.53671.28982.70222.5145AUCHSJA23480.4356472.4299518.1155950.6QEBA42989.6180617.4191778.3127246.0BBA37163.5163392.1173135.0293148.1AHAL2=18.149L2=16.890L2=14.809L2=13.340L2=12.899161740方法 CosFace ArcFace0平均L2 AUC ASR 平均L2 AUC ASR0HSJA 3.517 169539.4 32% 2.506 131163.5 46% QEBA 4.586 130791.0 2%3.998 112046.8 6% BBA 3.101 119237.1 30% 2.540 87663.5 43% 进化 2.960137222.0 21% 2.604 120543.8 26% 我们的 1.909 109084.4 58% 1.43693046.4 78%0表2. CelebA数据集上的结果。0攻击方法中攻击成功率最高，这证明AHA找到的大多数对抗样本是有效的。例如，对于Inception-V3，我们的方法达到了91%的攻击成功率，比最先进的方法高27%。为了进行更直接的比较，我们在图2中绘制了攻击成功率与查询次数的曲线。在开始时，BBA方法效果很好。然后，在近10,000次查询之后，随着足够的历史积累，我们提出的AHA的攻击成功率急剧增加，并且高于基准方法。我们还在表2中测试了在CelebA数据集上的性能。从表2中可以得出结论，AHA不仅在自然图像数据集上有效，而且在人脸数据集上也有效。尽管我们的AHA在ArcFace模型上的AUC大于BBA方法的AUC，但我们提出的方法在三个指标上仍然达到了几乎最佳的性能。此外，我们发现CosFace模型比ArcFace模型对这种困难标签黑盒攻击更加稳健。有趣的是，QEBA方法的AUC低于HSJA，而QEBA的平均L2范数和攻击成功率在两个数据集上都没有优势。请注意，QEBA可以被视为将HSJA与子空间优化相结合。我们得出结论，子空间优化有助于更快的收敛，但会导致次优结果。因此，自适应子空间优化将是有帮助的，我们将其作为未来的工作。04.3. 针对防御方法的攻击0随着攻击方法的发展，许多研究提出了防御方法来保护他们的模型。为了验证我们的AHA方法在这种设置下的有效性，我们评估了AHA与一些基准方法在从CIFAR-10测试集中随机抽取的100个图像上的性能，每个类别有10个图像。对于每个图像，我们随机选择另一个图像作为目标。我们使用具有28层和宽度乘数为10的WideResNets架构（表示为WRN-28-10）作为目标模型。对于防御方法，我们使用广泛使用的位深度减少[39]，JPEG压缩[11]和对抗训练[27]。结果在表3中呈现，其中None表示没有防御的基准模型。我们可以得出结论，我们提出的AHA对所有防御方法仍然有效。例如，对于对抗训练模型，我们的扰动的平均L2范数为1.8825，比HSJA少28.5%和0None 位深度 JPEG 对抗训练0L 2范数0进化 0.5491 1.0516 2.2334 2.94100我们的 0.3185 1.0207 2.2166 1.88250进化 40127.3 143257.6 179670.6 173135.00我们的 36881.7 141574.3 171625.6 143037.20表3. 不同防御方法的结果。None表示没有防御的基准模型。0进化0L 2 =9.754 L 2 =6.640 L 2 =5.512 L 2 =5.052 目标 L 2 =4.92801000次查询 2000次查询 3000次查询 4000次查询 原始 5000次查询0图3. AHA和Face++API上的进化示例。（最佳视图为放大后的视图）036.0% 小于进化算法。04.4. 在线系统结果0转向对现实世界系统的鲁棒性，我们最终测试了我们的方法对在线系统的有效性，即 MEGVII Face++提供的人脸验证API。该API允许用户上传两张人脸图像，然后返回它们的相似度分数以及一些阈值。当相似度分数高于相应的阈值时，两张人脸被认为是同一个人。在这里，我们使用返回的最高阈值，攻击方法只能获得两张人脸是否属于同一个身份，而不能获得相似度分数。考虑到查询是昂贵的，我们只使用进化算法和AHA在随机选择的10对人脸上攻击该API，并将最大查询次数设置为5000次。进化算法和我们的最终平均扰动的L2范数分别为14.544和10.910。我们还在图3中给出了可视化示例，显示了不同查询下的对抗性人脸图像。这些结果表明AHA对于现实世界的系统是实用的。04.5. 剔除研究0在本小节中，我们将检查系数自适应调整策略和子空间优化对最终性能的贡献。对于系数调整策略，我们将1/5成功规则与我们的策略在AHA上进行比较。为了节省计算资源，我们选择了一些简单的公式作为h(∙)，如表4所示。我们首先发现，使用1/5成功规则，AHA仍然比进化算法等基线更高效。而我们的系数调整策略，通过适当选择 h(¯r)，可以进一步提高性能。在这里，我们选择 h(¯r) = (¯r + 0.8)²作为稳定的AUC。为了进一步证明所提出的系数调整策略的有效性，我们检查了优化方法能够多少次找到成功的查询。因此，我们在图4中绘制了成功率与查询次数的曲线，分别对应进化算法、我们的方法与1/5成功规则的方法。为了更好地可视化，我们通过绘制40个间隔的平均值来平滑曲线。我们的提出的调整策略的成功率持续增加，并且高于其他方法，这有助于优化方法快速移动沿决策边界。正如在第3.4节中提到的，子空间优化方法与我们的方法正交，可以结合起来获得更好的性能。需要注意的是，一些基线方法也使用子空间优化方法来提高性能。QEBA和进化算法方法使用双线性插值进行降维，而BBA使用Perlin噪声进行低频空间约束。在这里，我们检查了两种广泛使用的子空间优化方法的影响，即用于降维的双线性插值（简称DR）和通过DCT进行低通滤波（类似于Perlin噪声但更简单）。按照[23,14]的做法，我们将缩放因子设置为4，用于DR和DCT。我们提出的AHA方法在是否使用子空间优化的情况下的结果可以在表5中找到。我们可以得出结论，单一子空间优化可以显著提高性能，例如，平均L2范数161750策略 ResNet50 Inception-V30平均L2 AUC 平均L2 AUC01/5成功规则 6.638 404310.2 11.507 643280.9 h(¯r) = exp(¯r - 0.2)6.154 398307.0 11.222 641313.8 h(¯r) = ¯r + 0.8 6.168 393999.310.751 620673.0 h(¯r) = (¯r + 0.6)² 20.813 652617.2 29.989953790.4 h(¯r) = (¯r + 0.7)² 8.329 427764.1 13.654 660240.3 h(¯r)= (¯r + 0.8)² 6.203 389357.9 10.976 616167.4 h(¯r) = (¯r + 0.9)²9.643 506123.7 16.604 782229.9 h(¯r) = (¯r + 0.8)³ 6.396 400115.111.211 628122.40表4. 不同系数调整策略的结果。0（a）VGG-160（b）ResNet500图4.查询成功率与查询数量的曲线。为了更好地可视化，曲线已经平滑处理。Ours1/5表示我们的历史先验与1/5成功规则。（最佳视图为彩色）0比基线方法如进化算法更高效。而我们的系数调整策略，通过适当选择 h(∙)，可以进一步提高性能。在这里，我们选择h(¯r) = (¯r + 0.8)²作为稳定的AUC。为了进一步证明所提出的系数调整策略的有效性，我们检查了优化方法能够多少次找到成功的查询。因此，我们在图4中绘制了成功率与查询次数的曲线，分别对应进化算法、我们的方法与1/5成功规则的方法。为了更好地可视化，我们通过绘制40个间隔的平均值来平滑曲线。我们的提出的调整策略的成功率持续增加，并且高于其他方法，这有助于优化方法快速移动沿决策边界。正如在第3.4节中提到的，子空间优化方法与我们的方法正交，可以结合起来获得更好的性能。需要注意的是，一些基线方法也使用子空间优化方法来提高性能。QEBA和进化算法方法使用双线性插值进行降维，而BBA使用Perlin噪声进行低频空间约束。在这里，我们检查了两种广泛使用的子空间优化方法的影响，即用于降维的双线性插值（简称DR）和通过DCT进行低通滤波（类似于Perlin噪声但更简单）。按照[23,14]的做法，我们将缩放因子设置为4，用于DR和DCT。我们提出的AHA方法在是否使用子空间优化的情况下的结果可以在表5中找到。我们可以得出结论，单一子空间优化可以显著提高性能，