14361DST:无数据黑箱攻击的动态替代训练文轩王学林钱彦伟傅向阳薛复旦大学{wxwang19,xlqian,yanweifu,xyxue} @ fudan.edu.cn摘要随着深度神经网络模型在各种计算机视觉任务中的广泛应用,越来越多的研究工作研究了模型对对抗性样本的脆弱性。对于无数据的黑盒攻击场景,现有方法受到知识提取的启发,通常使用生成的数据作为输入,训练一个替代模型从目标模型中学习知识然而,替代模型通常具有静态的网络结构,这限制了对各种目标模型和任务的攻击能力。本文提出了一种新的动态替代训练攻击方法,以鼓励替代模型更好更快地从目标模型学习提出了一种动态替代结构学习策略,根据不同的目标模型和任务,通过动态门自适应地生成最优的替代模型结构.此外,本文引入了任务驱动的基于图的结构信息学习约束,以提高生成训练数据的质量,并便于替代模型从目标模型的多个输出中学习结构关系大量的实验已经进行,以验证所提出的攻击方法的有效性,它可以实现更好的性能相比,最先进的竞 争 对 手 在 几 个 数 据 集 上 。 项 目 页 面 :https://wxwangiris.github.io/DST1. 介绍深度神经网络模型已经在许多具有挑战性的计算机视觉任务中实现了最先进的性能[9,16,29]。这些模型已被广泛应用于实际应用中,例如:自动驾驶汽车、车牌读取、医学图像疾病诊断然而,最近的研究[8,30]表明,深度神经网络非常容易受到对抗性示例的影响,这些示例包含用于欺骗目标模型的微小且难以察觉的这就吸引了更多的研究者对攻击和防御进行更好的†表示通讯作者。图1.我们方法的概念概述我们的方法不是保留所有的块,而是根据黑盒攻击目标学习生成最佳的替代带“S”的浅绿色块基于图的结构信息用于促进替代训练。评估和提高深度模型的鲁棒性。对抗性攻击方法可以分为两种主要设置,即:,白盒攻击[2,5,17,21,24]和黑盒攻击[3,3,4,6,7,12,13,35],通过攻击者是否可以完全访问目标模型的结构和如今,在大数据时代,数据是公司最有价值的资产之一,其中大部分也存在隐私问题。因此,在实际情况下,攻击者不仅难以了解目标模型的细节,而且很难获得目标模型的训练数据,甚至类别数。本文的目的是根据给定的目标模型成功实现无数据的黑盒攻击。“无数据”意味着我们无法访问有关数据分布的任何知识(例如,、数据的类型、类别的数量等。),用于目标模型;“黑箱”表示目标模型结构被完全屏蔽,从而限制了模型参数或中间层特征的获取。我们唯一可以使用的是目标模型的概率/标签输出。这样严格的设置更符合现实场景的要求,尤其是在隐私数据保护受到更多关注的时候。受黑箱攻击中的替代训练方法的启发,许多作品[32,38]14362尝试通过生成训练数据学习目标模型的替代模型来解决无数据的黑攻击。然而,现有的方法存在两个主要的局限性:(1)针对不同目标的静态替代模型结构;由于缺乏先验知识,对不同的目标模型或任务采用相同的、静态的替代模型结构,肯定无法实现有效的攻击。同时,训练多个模型来为每个目标变化找到最合适的替代模型结构是不切实际的,并且成本昂贵。(2)假设已知目标模型的类别数量:对于完全无数据的黑盒攻击,已知目标模型的训练数据类的数目是不合理的。因此,使用标签作为生成器指导信息来合成用于替代训练的多样化和标签控制的数据是不切实际的。在这项研究中,为了解决现有方法的局限性,我们提出了一种新的和任务驱动的D替代T训练(DST)攻击方法,用于无数据的黑盒攻击,如图所示。1.一、我们的DST攻击采用了[14,32,38]中的基本替代学习框架,该框架通过以噪声为输入的生成器生成训练数据为了解决常数替代模型结构问题(局限性(1)),在本文的DST攻击算法中,首次引入了动态替代模型结构学习策略,根据不同的目标模型和任务,自动生成更适合的替代模型结构为了实现这样的动态结构生成,我们专门设计了一个可学习的动态门,以确定可以跳过深层架构中的哪些块为了解决不知道训练数据类的先验知识的问题这样的学习策略可以帮助替代模型从多个目标模型输出之间的结构关系中学习到更多隐含和详细的信息。同时,这些结构信息能够反映生成的一组训练数据之间的表示距离,激励生成器提供更有价值的训练数据。总体而言,DST攻击能够自适应地为不同的目标生成最优的替代模型结构,提高替代模型与目标模型的一致性,并通过学习结构信息促使生成器合成更好的训练数据。这可以提升无数据黑箱攻击的性能。本文的主要贡献如下:(1)提出了一种新的任务驱动的动态替换训练攻击方法,以提高无数据黑盒攻击的效率进攻性能。(2)首次引入动态替代结构学习策略,根据不同的目标模型和任务自适应地生成最优的替代模型结构,而不是采用相同的、静态的网络。(3)为了鼓励替代模型从目标模型中学习更多的细节并提高生成的训练数据的质量,我们提出了一种基于图的结构化信息学习策略,从一堆目标输出中深入挖掘结构化、关系化和有价值的信息.(4)在4个公共数据集和一个在线机器学习平台上的综合实验表明,该方法能够达到SOTA攻击性能,并显著减少了替换训练过程中的查询次数2. 相关工作对抗性攻击。由于深度学习模型在大多数计算机视觉任务上取得了显着的成功[9,16,25,26,29,31],因此这些模型的安全性研究吸引了许多研究人员。[30]说明了深度神经网络容易受到对抗性扰动的影响。随后,越来越多的作品[2一般来说,攻击任务可以分为白盒攻击和黑盒攻击,白盒攻击可以获知目标模型的结构和参数,黑盒攻击只能获取目标的简单输出。大多数白盒算法[2,5,8,17,21,24]基于损失函数相对于输入的梯度生成对抗性示例。对于黑盒攻击,一些方法[3,4,7]通过训练替代模型迭代查询目标模型的输出并估计目标模型的梯度;而其他方法[11,19,34]则专注于提高对抗性示例在不同模型之间的可移植性在这项工作中,我们专注于更实际和更具挑战性的场景,即。无数据黑箱攻击,它攻击黑箱目标模型,而不需要任何真实的数据样本。无数据黑盒攻击。在实践中,攻击者很难获得目标模型的训练数据,甚至是类别的数量。因此,一些工作[10,14,22,32,36,38]开始研究无数据的黑盒攻击任务,该任务生成对抗性示例,而无需任何关于训练数据分布的知识。Mopuri等人 [22]提出了一种攻击,以破坏多层提取的特征,从而实现独立于底层任务的目标。Huan等人。 [10]基于微调模型和目标模型之间的映射连接来学习对抗性扰动。[32,38]利用具有噪声作为输入的生成器来合成用于训练替代模型的数据,以通过知识蒸馏从目标模型在本文中,我们采用的基本框架为[14,32,38]。与这些作品不同,我们的替代品的结构14363LTSTSG图2.(a)我们的分布式替代T训练攻击框架(DST)的说明 DST利用基于图的结构信息学习约束GSIL来训练生成器和替代模型。(b)D结构替代学习策略(DSSL)示意图。应用DST的DSSL,根据不同的目标,自动生成最优的替代模型结构模型不是固定的,而是根据不同的目标模型和不同的数据集动态生成和优化的。此外,我们不仅从目标模型的单个输出中训练替代模型和生成器,而且还从多个目标输出的基于图的关系中表示的详细和隐式信息中训练替代模型和生成器。3. 方法3.1. 框架概述图2(a)示出了我们提出的统一的D替代T攻击框架(DST)的示意图,其主要由两个可学习的组件组成,即:、生成器G和替代模型S。更准确地说,DST采用生成器G来合成训练样本,高斯随机噪声z<$N(0,1),x=G(z) ∈R3×h×w(1)其中h和w表示生成的训练样本的高度和宽度随后,我们将合成的数据馈送到目标模型中和一个替代模型同时,同时师生策略在这里被重新利用,以鼓励S学习与T相似的决策边界,LS=d(T(x),S(x))(2)其中d表示度量函数,用于测量来自和的输出之间的距离。经过这样的替换训练过程,攻击可以在训练好的S上进行,然后转移到T上。正如[32,38]中所提出的,S的目标是最小化输出与T的差异,而G试图最大化差异,以探索各种硬样本的替代训练。对于经由梯度下降的模型参数学习,可以如下转移这种用于学习的目标最大化函数以使损失最小化,LG= −d(T(x),S(x))(3)总体而言,本文的主要贡献集中在替代模型的学习值得注意的是,我们首次提出了一种动态替代搜索策略来学习替代模型的最佳结构,而不是根据先验知识手动选择一个[14,32,38]。我们认为,这种设计无论从模型的结构还是参数的空间分布上,都能最好地此外,为了激励替代模型从目标中学习更多的细节并提高生成的训练数据的质量,我们提出了一种基于图的结构信息学习策略,以从多个目标输出中深入挖掘更多的结构性、3.2. 动态替代结构学习与静态网络结构相比,动态网络结构通常具有适应各种任务和目标的网络能力的优势在黑盒攻击任务中,针对不同的目标模型和不同的数据集,本文提出的DSSL算法能够自适应地找到更合理的替代模型结构,从而获得更强的攻击能力。考虑到大多数深度网络都采用了基于块的残差学习设计,14364不不·GH·GSTST不j=1S2JJSTResNet的成功[9](例如,,MobileNetV 2 [28],Shuf-fleNet [37]和ResNext [33]),因此,我们基于残差设计构建我们的DSSL,以普遍适用于常见的深度网络。图T。这种图的差异包含节点差异和边差异,公式为,LGSIL=Disc(Graph,Graph)如图2(b),每个的选择概率路径由动态门产生。这样的动态门=α1·吉隆坡.xT,xS+α2·MSE.AT,ASΣ(7)目的在于预测一个独热向量,该独热向量表示是否执行或跳过残差块的分支。这里,我们采用一组轻量级操作来实现以特征f为输入的动态门函数DG(·)DG(f)=H(WP(f)+b)(4)其中P()表示全局平均池化层,W和b是全连接层参数。为了实现所选路径的离散二元决策,我们选择硬S形函数作为H(·),其可以定义为,H(g)=最大值0,min。kg+1,1(5)其中我们将阈值设置为0.5,这将()的输出裁剪为0或1。k是关键参数,用作发出二进制决策的阶跃函数的近似值。3.3. 基于图的结构信息学习为了约束和之间的输出的一致性和提高生成的训练数据的质量,我们认为,重要的是要探索不同的输出之间的隐式结构关系基于图的关系表示可以反映对的深层知识,学习这种结构特征可以帮助实现更相似的决策边界,从而进一步提高攻击性能。同时,这种结构关系可以反映多幅训练图像之间的距离,提高数据质量产生作为回报在训练过程中,我们提出了一种新的基于图的结构化信息学习策略(GSIL)来指示模型输出的潜在关系借助图网络的概念,在训练过程中的每一个小批特别地,结构信息图被定义为,J Jj=0其中,xT、xS和AT、AS是指针对和设置的节点和边。利用Kullback-Leibler散度函数KL来度量两个节点之间的差异,并利用MSE损失来限制两条边之间的差异。α1和α2是平衡节点和边的差异的超参数。在DST模型学习中,我们使用LGSIL来度量DST模型的差异。在Eq.中使用的S和T之间的credibility。2和Eq。3 .第三章。4. 实验4.1. 实验装置数据集和模型结构。1)MNIST [18]:目标模型在AlexNet [16],VGG-16 [29]和ResNet-18 [9]上进行预训练。2)CIFAR-10 [15]:目标模型在AlexNet、VGG-16和ResNet-18上进行预训练。3)CIFAR- 100 [15]:目标模型在VGG-19和ResNet-50上进行了预训练。4)TinyImagenet [27]:目标模型在ResNet-50上进行对于这四个数据集,默认的替代模型基本结构是ResNet-34。竞争对手为了验证我们的DST的有效性,我们将我们的攻击结果与现有的最先进的无数据黑盒攻击,即。,GD-UAP [22],余弦- UAP [36],DaST [38],MAZE [14]和DDG+AST [32]。实作详细数据。我们使用Pytorch实现。我们利用Adam从头开始训练我们的替代模型和生成器,所有权重都使用截断正态分布随机初始化,标准偏差为0.02. 生成器和替代模型的初始学习速率分别为0.0001和0.001,从第80个历元开始逐渐减小到零,并在第150个历元停止。我们将小批量大小设置为500,超参数α1和α2相等为1。的在Eq.在以下实验中,将5设定为1我们模型由一个NVIDIA GeForce GTX 1080Ti GPU训练。我们应用PGD [21]作为默认的白盒攻击图=(节点,边)=({xj}B,A)(六)在评估过程中,在经过良好训练的替代模型上生成对抗图像的方法我们还使用了SEV-A(j,k)=<$xj−xk<$E,j,k=1,...,B其中B表示每次训练迭代中的训练数据的数量,即小批量的值,并且边缘被定义为两个节点表示/模型输出之间的欧几里得距离E一旦我们得到了结构信息图,就可以产生相应的约束LGSIL,以进一步限制S的图S与对FGSM [8]、BIM [17]和C W [2]等经典攻击方法进行了大量实验。在模型优化阶段,没有用于模型学习的真实图像,仅使用随机噪声作为输入。为了评估,进行攻击的对抗样本仅在四个数据集上的测试集上制作。评估指标。 根据DaST中提出的两种情况[38],即,只从B14365数据集MNISTCIFAR-10CIFAR-100微型ImageNet目标模型AlexNetVGG-16ResNet-18AlexNetVGG-16ResNet-18VGG-19ResNet-50ResNet-50非目标GD-UAP [22]33.2829.5430.8118.3916.4320.6512.5714.908.93Cosine-UAP [36]38.9235.1128.4838.2023.4435.7315.6217.8311.96[第38话]63.3460.3856.2143.6456.2549.3632.9427.3226.85迷宫[14]65.8267.6859.3244.7250.1352.9929.4124.8325.40DDG+AST [32]68.2965.0361.4744.8753.9150.3031.8826.5630.81夏令时(我们的)70.4872.4963.7247.2058.2154.9334.0331.3932.28目标GD-UAP [22]28.1039.5129.4814.2218.4316.4910.556.317.50Cosine-UAP [36]36.9148.2337.8820.4617.9724.3112.4012.1110.53[第38话]58.2867.3354.2929.4840.2946.1015.8222.4820.37迷宫[14]60.4867.3960.4333.2829.8341.2618.2220.2119.25DDG+AST [32]62.2066.4561.9435.9134.8745.2517.0419.5717.48夏令时(我们的)64.8268.4965.7738.2944.7147.9020.5923.0122.94表1.使用概率作为目标模型输出,比较我们的方法和竞争对手在四个数据集上的ASR结果。为了公平比较,我们使用PGD作为攻击方法,ResNet-34作为所有替代训练的默认替代模型数据集MNISTCIFAR-10CIFAR-100攻击方法FGSMBIMPGDC WFGSMBIMPGDC WFGSMBIMPGDC W非目标[第38话]59.3281.5263.3459.3742.4153.9256.2557.2827.4834.5627.3225.37迷宫[14]56.2574.8365.8270.4446.5762.9150.1348.1227.8630.5124.8327.66DDG+AST [32]62.4876.7068.2969.3344.1259.0353.9156.2830.7933.6226.5625.83夏令时(我们的)63.9282.4570.4873.2249.2164.9058.2159.1733.8037.7431.3929.33目标[第38话]59.2870.4758.2859.3330.2445.1040.2942.1316.4927.8622.4824.56迷宫[14]61.4267.2960.4857.3226.3540.4929.8338.1020.4224.8120.2123.85DDG+AST [32]57.8471.9062.2052.1137.5842.0634.8745.3917.8226.3319.5728.95夏令时(我们的)64.2373.8564.8260.5739.5347.2044.7148.0620.4827.3123.0129.57表2.将我们的方法和竞争对手使用概率作为目标模型输出的ASR结果与各种白盒对抗示例生成方法进行比较。为了公平比较,我们使用ResNet-34作为所有替代训练的替代模型。目标模型是MNIST的AlexNet,CIFAR-10的VGG-16和CIFAR-100的ResNet-50。目标模型和访问输出概率我们将这两种场景命名为基于概率和基于标签。在实验中,我们报告了由替代模型生成的对抗性示例攻击目标模型的攻击成功率(ASR)与DaST [38]一样,对于非目标攻击,我们只攻击由目标模型正确分类的图像。对于目标攻击,我们只在未分类到特定错误标签的图像上生成对抗性示例。我们对每个测试进行十次,并报告平均结果。4.2. 黑盒攻击结果与最先进的攻击相比 如Tab.所示。1、我们的DST攻击以显著的利润率击败所有竞争对手。我们从几个方面与这些竞争对手进行了广泛的比较,即:不同的任务(数据集)、不同的目标模型和不同的攻击目标(目标/非目标)。结果表明,我们的DST方法可以达到最佳的黑盒攻击能力,在不使用任何真实的数据作为输入。使用各种白盒对抗样本生成方法与竞争对手进行比较。下基于概率的情况下,我们比较了ASR与竞争对手使用不同的白盒攻击方法时,如Tab中所示。2.在三个数据集上,我们使用四种经典的攻击方法生成了针对替代模型的对抗样本,用于攻击目标模型。与其他无数据的黑盒攻击算法相比,该算法能够动态生成合适的替代模型结构,并从目标输出中学习结构信息,从而在大多数实验中获得最佳的ASR.与使用不同深度网络作为替代模型的竞争对手进行比较如Tab.所示。3、将我们的DST攻击性能与竞争对手的DST攻击性能进行了比较,竞争对手可以选择一组网络作为他们的替代模型。即使我们的DST只能使用ResNet-34作为基本的替代模型,由于动态替代结构学习策略,当竞争对手能够从一组不同的网络中选择最佳替代模型时,我们仍然可以实现更好的攻击性能我们还可以注意到,竞争对手的攻击性能高度依赖于所选择的替代模型结构。这些结果表明,我们的DST可以自动14366STST方法MNISTCIFAR-10CIFAR-100V-16 V-19 R-18 R-34 转轴-50V-16 V-19 R-18 R-34 转轴-50V-16 V-19 R-18 R-34 转轴-50非目标[第38话]62.49 59.21 40.36 60.38 49.85 23.48 45.83 34.87 49.36 43.20 17.38 12.42 20.48 27.32 22.56迷宫[14]57.36 69.31 64.20 67.68 55.47 36.88 29.42 38.47 52.99 50.35 13.27 23.49 19.21 24.83 25.55DDG+AST [32] 68.28 57.20 63.12 65.03 68.37 36.02 52.30 47.21 50.30 49.46 12.48 17.20 15.93 26.56 22.46夏令时(我们的)72.4954.9331.39目标[第38话]53.92 61.48 42.01 67.33 48.47 19.49 39.61 37.02 46.10 47.009.32 22.51 14.29 22.48 17.56迷宫[14]54.21 67.50 57.86 67.39 64.23 42.93 35.32 37.48 41.26 36.06 12.41 21.48 18.60 20.21 20.35DDG+AST [32] 48.99 63.81 66.91 66.45 55.30 43.05 41.29 40.82 45.25 38.90 13.40 18.66 21.43 19.57 19.95夏令时(我们的)68.4947.9023.01表3.在基于概率的场景下,使用不同的替代模型结构,比较我们的DST和竞争对手之间的ASRMNIST的目标模型是VGG-16,CIFAR-10的目标模型是ResNet-18,CIFAR-100的目标模型是ResNet-50。我们使用PGD作为所有攻击的攻击方法。参赛者可以使用VGG-16(V-16)、VGG-19(V-19)、ResNet-18(R-18)、ResNet-34(R-34)和ResNet-50(R-50)作为其替代模型,蓝色的ASR代表根据每个参赛者的不同攻击目标选择的最佳替代模型。我们的DST攻击在任何情况下都只能使用ResNet-34作为基本的替代模型结构。组件基于概率基于标签MNISTC-100MNISTC-100非目标基线-I30.8212.4015.337.54基线-II48.9921.3623.4714.22+ GSIL59.3224.8129.6520.23+ DSSL70.4831.3936.2225.83目标基线-I27.4910.4816.725.83基线-II38.2118.4923.958.49+ GSIL52.4021.4826.5813.77+ DSSL64.8223.0131.9419.30表4.比较我们提出的DST攻击和竞争对手在基于概率和基于标签的场景下攻击在线Microsoft Azure示例模型的ASR结果为了公平比较,我们使用PGD作为攻击方法,ResNet-34作为所有替代训练的默认替代模型。根据目标生成最优替代模型,这对实际应用至关重要。与最先进的竞争对手对比在线Microsoft Azure示例模型。针对真实世界黑盒模型的攻击性能是评价对抗性示例生成方法的关键。因此,我们将我们的DST与在线Microsoft Azure模型上的竞争对手进行比较。在Tab。4、本文提出的DST算法性能优于所有竞争对手,表明了本文提出的DST算法在实际应用中的黑盒攻击能力。4.3. 消融研究为了进一步探索DST攻击中组件的功效,我们对以下变体进行了广泛的消融研究:(1)表5.所提出的DST攻击方法的变体的ASR结果。目标模型基于MNIST的AlexNet和CIFAR-100的ResNet-50。“C-100”是指CIFAR-100数据集。我们使用PGD作为攻击方法,ResNet-34作为所有实验的替代模型。输入以生成训练数据,并应用MSE损失来约束和之间的输出相似性;(2)“基线II”:使用随机噪声作为输入来产生训练数据,并应用Kullback-Leibler散度来约束输出与之间的相似性;(3)“+GSIL”:利用基于图的结构信息学习约束进行替代训练;(4)“+DSSL”:在“+GSIL”的基础上,采用动态替换结构学习策略,自适应地生成合适的替换模型结构,即完整的DST攻击模型。DST攻击中攻击能力成分的功效。在Tab。5、通过比较 不 同 变 种 的 攻 击 结 果 , 我 们 可 以 发 现 : ( 1 )“Baseline-I”只能实现对目标模型的基本攻击能力。(2)比较S和T之间的输出相似性。(3)比较─方法基于概率基于标签非目标GD-UAP [22]73.1268.01Cosine-UAP [36]77.4882.56[第38话]92.4894.21迷宫[14]93.9593.18DDG+AST [32]93.2995.83夏令时(我们的)95.0296.44目标GD-UAP [22]42.1931.47Cosine-UAP [36]46.1052.36[第38话]52.1868.85迷宫[14]50.2359.83DDG+AST [32]53.4671.48夏令时(我们的)56.3975.9014367不S数据集MNISTCIFAR-10CIFAR-100目标模型AlexNetVGG-16ResNet-18AlexNetVGG-16ResNet-18VGG-19ResNet-50非目标ResNet-1859.4149.8248.2435.6754.2843.0912.4914.23+ DSSL(我们的)68.81(55.6)73.59(50.0)60.40(44.4)50.91(38.9)57.24(33.3)55.96(22.2)30.43(22.2)27.98(11.1)ResNet-3459.3264.4056.2839.2150.9046.2923.5524.81+ DSSL(我们的)70.48(70.6)72.49(73.5)63.72(55.9)47.20(61.8)58.21(55.9)54.93(67.7)34.03(55.9)31.39(38.2)ResNet-5047.8063.3650.1938.4243.2850.1229.6517.33+ DSSL(我们的)69.55(86.0)73.42(80.0)61.82(82.0)50.37(78.0)55.61(60.0)53.57(70.0)33.50(42.0)32.40(54.0)ResNet-10149.0858.2138.1732.5454.8349.2219.3423.46+ DSSL(我们的)70.33(92.1)74.02(87.1)59.48(93.1)49.53(88.1)57.31(88.1)56.24(79.2)35.09(67.3)30.47(77.2)非目标ResNet-1860.3558.2859.1228.4443.7549.2015.9111.27+ DSSL(我们的)62.94(55.6)67.21(50.0)63.38(44.4)39.41(38.9)46.82(33.3)48.03(22.2)16.23(22.2)21.10(11.1)ResNet-3452.4060.2255.9432.5135.9439.4214.0921.48+ DSSL(我们的)64.82(70.6)68.49(73.5)65.77(55.9)38.29(61.8)44.71(55.9)47.90(67.7)20.59(55.9)23.01(38.2)ResNet-5054.2863.4760.0233.0041.2535.9117.3223.99+ DSSL(我们的)66.91(86.0)70.36(80.0)64.24(82.0)37.58(78.0)43.92(60.0)49.50(70.0)21.42(42.0)25.84(54.0)ResNet-10143.3556.1763.2930.8837.2542.6321.3814.56+ DSSL(我们的)64.27(92.1)66.05(87.1)64.88(93.1)40.10(88.1)41.29(88.1)48.57(79.2)22.50(67.3)23.36(77.2)表6.比较我们的方法和具有不同替代网络的变体之间使用概率作为目标输出的ASR结果我们使用PGD作为所有实验的默认攻击。The ‘ResNet-18’, ‘ResNet-34’, ‘ResNet-50’, and ‘ResNet-101’ represent the basic substitute '()'中的数字通过对“Baseline-II”和“+GSIL”的比较特别地,图的边的距离表示输出的结构关系,因此,学习这样的信息可以极大地鼓励从图中学习更详细的知识。(4)通过“+DSSL”模块,ASR得到了显著改善。结果表明,静态替代结构不利于多种攻击目标,自优化替代结构对于未知的多种攻击目标更为合理动态替代结构学习策略对不同任务和不同目标模型的有效性。为了更好地验证所提出的动态替代结构学习策略的有效性,我们选择了几个基本的深度学习网络 , 即 。 、 ResNet-18 、 ResNet-34 、 ResNet-50 和ResNet-101作为替代模型。为了公平的比较,与“+DSSL(Ours)”相比如Tab.所示。(1)通过采用动态替代结构学习策略,我们的方法可以在所有任务和目标模型上获得更好的攻击结果,例如将“ResNet-34”与次低的原始“+ DSSL(Ours)”进行比较对于不同的任务和目标模型,有不同的对应结构作为最佳替代模型是合理的。因此,我们的DSSL组件自适应地产生更合理的替代结构确实可以提高攻击性能。(2)对于同一数据集上的同一目标模型,“+ DSSL(Ours)”的ASR替代模型架构。例如,为了攻击在MNIST上训练的AlextNet模型,我们的ASR约为69%,在非目标攻击设置下,基于四个基本模型有小的波动然而,在没有应用动态替代结构学习策略的情况下,根据不同的替代模型,ASR从47%急剧变化到59%这些结果进一步证实了我们的方法可以自动产生不同基本模型的最优替代结构。(3)实验中我们还给出了跳过率的计算结果,很明显,当基本替换结构复杂且具有更深的结构时,跳过的块数更多。,与ResNet-18相比,使用ResNet-101作为基本替代模型的跳跃率通常更大。并且当针对更困难的任务时,跳过率通常较小,例如。,CIFAR-100数据集,由于替代模型保持更多的块来学习更复杂的特征表示。每个建议的组件在替代训练期间减少查询次数的有效性。考虑到在实际应用中,许多在线平台通过检测单个IP地址的查询次数来进行防御,因此越来越多的攻击方法将注意力集中在减少查询次数上。如Tab中所示7,我们将模型学习和推理阶段的查询次数与竞争对手进行了比较。(1)在扰动距离相近的情况下,本文提出的DST攻击方法不仅获得了与其他攻击方法相当的ASR,而且训练查询次数最少,攻击查询次数为零。至于比较分数为基础和决定-14368GS不S方法ASRS距离Q列车测试-QGLS [23]53.283.68-311边界[1]99.323.94-702[第38话]92.483.7920M-迷宫[14]93.953.9030M-DDG+AST [32]93.293.8815M-基线-I55.923.8230M-基线-II70.283.9130M-+ GSIL83.243.7613M-+ DSSL95.023.809M-表7.我们的DST方法、DST变体和几个竞争对手之间的比较结果,针对Microsoft Azure示例模型并使用BIM作为默认的非目标攻击方法。“ASR”是图3.在CIFAR-10上使用t-SNE [20]可视化3,000个生成的数据分布。 (a)由DST生成的数据,而不应用基于图的结构信息学习策略。(b)由我们的DST的G基于攻击,他们需要在评估阶段查询目标模型以生成每个攻击,并多次向目标模型提供相同的原始数据,这些数据可以被防御者容易地跟踪(2)采用结构化信息学习策略,训练查询次数显著减少,说明输出之间基于图的关系有助于更快地从目标学习知识。(3)采用动态替代结构学习策略后,我们的攻击方法的训练查询次数有一定程度的下降,说明采用最优结构不仅学习效果更好,而且学习速度更快。基于图的结构信息学习策略对生成的训练数据质量的有效性。在特征方面,我们将目标模型提取的合成数据的特征分布可视化在图中。3 .第三章。这些定性结果表明,应用所提出的基于图的结构信息学习策略,生成的数据更均匀地分布,这是友好的替代模型训练。根据不同的目标模型和任务,动态替代模型结构的可视化图4. 根据不同的目标模型(即,、AlexNet、VGG-16和ResNet-18)和任务(即,MNIST和CIFAR-10)。替代模型的基本网络是ResNet-18。绿点表示保留区块,红点表示跳过区块。如图4、对于相同的基本替代模型结构,根据不同的目标,动态替代结构学习策略生成的最优替代模型是不同的。考虑到MNIST数据集与CIFAR-10相比相对简单同时,AlexNet表达相对简单的表示,因此,相应的最优替代模型保留较少的块来从AlexNet学习知识。社会影响和局限性。对抗攻击的任务主要用作验证和确认最先进的深度模型的鲁棒性的工具。我们的DST方法不得用于攻击现有的识别系统。另一方面,我们的DST仍然依赖于白盒攻击方法,我们将专注于直接攻击,并在未来研究防御算法5. 结论针对无数据黑箱攻击问题,提出了一种新的动态替代训练攻击方法(DST)。DST通过提出的动态替代结构学习策略,根据不同的目标生成最优的替代模型结构,并通过基于图的结构信息学习约束,激励替代模型从目标模型中学习隐含信息。实验结果表明,与现有的攻击方法相比,DST方法具有最佳的6. 确认本 课 题 得 到 了 国 家 自 然 科 学 基 金 项 目( 62176061 ) 、 上 海 市 科 技 重 大 专 项( 2018SHZDZX01 ) 、 上 海 市 科 研 创 新 功 能 专 项(17DZ2260900)的部分资助。14369引用[1] 威兰·布伦德尔乔纳斯·劳伯和马蒂亚斯·贝斯格。基于决策的对抗性攻击:对黑盒机器学习模型的可靠攻击。arXiv预印本,2017年。8[2] 尼古拉斯·卡利尼和大卫·瓦格纳。评估神经网络的鲁棒性。2017年一、二、四[3] Pin-Yu Chen,Huan Zhang,Yash Sharma,Jinfeng Yi,and Cho-Jui Hsieh. Zoo:基于零阶优化的黑盒攻击,无需训练替代模型即可对深度神经网络进行攻击。在第10届ACM人工智能和安全研讨会论文集,第15-26页,2017年。一、二[4] Weiyu Cui,Xiaorui Li,Jiawei Huang,Wenyi Wang,Shuai Wang,and Jianwen Chen.基于知识提炼的黑盒对抗攻击2020年IEEE图像处理国际会议(ICIP),第648-652页IEEE,2020年。一、二[5] Yinpeng Dong , Fangzhou Liao , Tanyu Pang , HangSu,Jun Zhu,Xiaolin Hu,and Jianguo Li.给敌对的进攻增加动力。在CVPR,2018年。一、二[6] Yinpeng Dong,Hang Su,Baoyuan Wu,Zhifeng Li,Wei Liu,Tong Zhang,and Jun Zhu.基于决策的黑盒对抗性攻击在人脸识别中的应用。在CVPR,2019年。1[7] Xianfeng Gao , Yu-an Tan , Hongwei Jiang , QuanxinZhang,and Xiaohui Kuang.通过集成替代训练和线性增强增强有针对性的黑盒攻击应用科学,9(11):2286,2019. 一、二[8] Ian J. Goodfellow,Jonathon Shlens,Christian Szegedy.解释和利用对抗性的例子。arXiv预印本,2014年。一、二、四[9] Kaiming He,Xiangyu Zhang,Shaoying Ren,and JianSun.用于图像识别的深度残差学习。在Proceedings ofthe IEEE conference on computer vision and patternrecognition,第770-778页,2016中。一、二、四[10] Zhaoxin Huan , Yulong Wang , Xiaolu Zhang , Lin
我的内容管理
展开
