暗示深度排序模型中的实用相对顺序攻击

16413≺≺≺≺∈--∥ ∥∈≺ ≺··· ≺深度排序中的实用相对顺序攻击莫舟1王乐1牛振兴2张麒麟3徐英辉2郑南宁1华刚41西安{cdluminate，zhenxingniu，samqzhang，ganghua}@ gmail.comlewang@xjtu.edu.cnnnzheng@mail.xjtu.edu.cntaobao.com摘要最近的研究揭示了深度排名模型的漏洞，其中一个难以察觉的扰动可能会引发排名结果的戏剧性变化。虽然以前的尝试侧重于操纵某些候选人的绝对排名，但调整其相对顺序的可能性仍然没有得到充分探讨。在本文中，我们提出了一种新的针对深度排名系统的对抗性攻击Order攻击，其根据攻击者指定的排列秘密地改变所选择的候选者集合之间的相对顺序，对其他不相关的候选者具有有限的干扰。具体来说，它被制定为一个三重式的损失施加的不平等链，反映指定的置换。然而，由于各种黑盒限制，这种白盒目标的直接优化为了解决这些问题，我们提出了一种短程排序相关性度量作为黑盒排序攻击的替代目标，以近似白盒方法。在白盒和黑盒威胁模型下，对Fashion-MNIST和Stanford-Online-Products数据集进行了订单攻击评估。黑盒攻击也在一个主要的电子商务平台上成功实施综合实验评估表明，所提出的方法的有效性，揭示了一种新的排序模型的脆弱性。1. 介绍由于深度神经网络[26，21]在学习排名任务[51，41]中的广泛应用，深度排名算法已经取得了重大进展，但不幸的是，它们也继承了神经网络长期存在的对抗漏洞[46例如，考虑“按图像搜索”应用，对查询图像的不可察觉的对抗性扰动足以有意地改变可检索图像的排名结果。典型地，这样的对抗性示例可以被设计成使排名模型排名项目不正确），或有目的地提高或降低所选候选人的排名[59]。*通讯作者。由于然而，在一些应用中，改变的相对顺序可能是破坏性的，例如影响由基于内容的图像检索提供支持的电子商务平台上的销售[44]，其中潜在的客户试图通过图像搜索找到商品。如图1，攻击者可能想要对抗性地扰乱查询图像，从而将产品A、B、C、D和E之间的相对顺序改变为AE在按图像搜索的结果中显示D C B。产品的销售与其点击率（CTR）密切相关，而CTR可能会受到其排名位置的显著影响[10，38]（这也决定了客户端的产品因此，搜索相对顺序的细微变化足以改变CTR并影响A到E之间的实际和相对销售。商业平台中的这种脆弱性可能在排名靠前的产品之间的不法商业竞争中被利用，通过推广包含预先生成的对抗性示例产品图像的具体地，改变相对顺序的攻击并不旨在引起所选候选的绝对排名的显著变化（例如，从列表底部移动到顶部），但是它有意地微妙地改变它们的相对顺序，而虽然这样的目标不能通过绝对排名攻击（如[59]）来实现，但相对顺序漏洞可以证明并激励更强大和公平的排名模型。具体来说，我们提出了顺序攻击（OA），一种新的深度排名的对抗性攻击问题。给定查询图像q[0，1]D，选择的候选者的集合C=c1，c2，. . . ，c，k，以及预定义的置换向量[p1，p2，. . . ，p k]，顺序攻击的目的是找到不可感知的扰动r（r∞∈ε且q~=q+r[0，1]D），使得作为附加查询的q可以将所选择的候选的相对值转换为cp1。cp2cpk. 为例如，将产生p=[1，5，4，3，2]的成功OA在c1c5c4c3c2中，如图所示。1.一、16414查询（原件）摄动查询（不安）图1：展示针对主要在线零售电子商务平台“JD SnapShop”的实际订单攻击（OA）查询图像为“汉服”。候选图像顶部的数字是库存单位（SKU）ID。为了实现OA，我们首先假设白盒威胁模型（即排名模型细节，包括攻击者可以获得梯度）。回想一下，传统的深度排名模型[51，58，41，25]将查询和候选映射到公共嵌入空间上，并且根据查询和这些候选之间的成对相似性来确定排名列表因此，OA可以被公式化为基于表示期望的相对排序的不等式链的三元组式损失函数的优化，其同时调整查询和所选择的候选之间的相似性得分。此外，还包括一个语义保持惩罚项[59最后，可以使用梯度方法（如PGD [33]）优化整体损失函数，以找到对抗性示例。然而，在真实世界的黑盒攻击场景中，实际限制（例如，梯度不可达性）使所提出的方法无效。为了适应他们，使OA实用，我们提出了一个虽然SRC是不可微的，但它可以用作黑盒OA的替代目标，并通过适当的黑盒优化器进行优化SRC也可以用作白盒方法的性能度量，因为它在白盒场景中优雅地退化为Kendall为了验证白盒和黑盒OA，我们在Fashion-MNIST和Stanford-Online-Product数据集上进行了全面的实验。为了说明黑盒OA在实践中的可行性，我们还展示了对“JD SnapShop”[ 23 ]的成功攻击，这是一个基于基于内容的图像检索的大量的定量和定性评价说明了所提出的OA的有效性，并揭示了一种新型的排名模型的脆弱性。据我们所知，这是第一个在深度排名中篡改相对顺序的工作。我们相信我们的贡献包括：（1）顺序攻击（OA），一种新的对抗性攻击，隐蔽地改变选择的候选人 之间 的相 对顺 序的 公式; （3 ） 短程 排序 相关（SRC）度量作为近似实际黑盒OA的三元组式损失的替代目标;（4）广泛的OA评估，包括在一个主要的在线零售电子商务平台上的成功演示。2. 相关作品对抗性攻击。Szegedy等人[46]发现DNN分类器容易受到无法感知的对抗性扰动的影响，这会导致错误分类。这引起了社区的研究兴趣，如随后关于对抗性攻击和防御的工作所示[14，12，48]。具体而言，这些攻击可分为几类：（1）白盒攻击，假设模型细节（包括梯度）是完全可访问的[19，27，33，35，7，2，3，13]。 在这些方法中，PGD [33]是最流行的一种;（2）基于转移的攻击，它基于对抗性示例的可转移性[15，54，16]。这种攻击通常会将从本地训练的替代模型中找到的对抗性示例转移到另一个模型上。(3)基于得分的攻击，它只依赖于软分类标签，即logit值[22，49，31，9，1]。值得注意的是，[22]提出了一个黑盒威胁模型分类，类似于我们的黑盒排名威胁模型;（4）基于决策的攻击，一种需要来自模型的最少量信息的攻击类型，即硬标签（独热向量）[6，8，11，17，43，28]。所有这些广泛的对抗性攻击都集中在分类上，这意味着它们不直接适用于排名场景。对抗排名。在诸如web检索的应用中，可以通过意向操作来提升文档的排名[20]。同样，上述作品的存在激发了对深层次的攻击顶部原创排行榜底部�+一BCDE原始查询扰动查询ABCD一EDCEB一EDCB排行榜�=16415·--ΣΣΣ◦{|}我···∥ ∥ ∈I我×我 ›→⊂--≺ ≺··· ≺≺ ≺··· ≺∈.ΣΣΣ··2我J−···我： [◦，◦，C，B，A]IV：[C，B，A，◦，◦]绝对秩损失II：[，，A，B，C]相对订单损失III：[A，B，C，o，o]3.1. 白盒办公自动化的三元组损失函数在训练过程期间，典型的深度排名模型f在每次迭代中涉及三元组（锚q、正cp、负cn为了将cp排在cn之前，模型为图2：相对顺序攻击与绝对等级攻击。但它仍然没有得到充分的探索。根据目的的不同，排序攻击可分为绝对排序攻击和相对排序攻击。大多数绝对秩攻击试图诱导随机其他的-针对排序模型攻击旨在引起绝对排序的有目的的改变，即，提高或降低特定候选人的排名[4，59]。 相反，在以下位置的相对次序─当f（q，cp）+ γ RCp（cj）且 RX（ci）>RX（cj）Σ{}∈×表明指定的相对顺序和候选嵌入的实际几何关系之间的兼容性影响OA的性能上界在这种情况下，我们的算法仍然可以找到一个不精确的解决方案，满足尽可能多的不等式，以近似指定的相对顺序。鉴于此，Kendall算法一：短期排序相关性τS。输入：所选择的候选者C = c1，c2，. . . ，ck，置换向量p =[p1，p2，. . . ，Pk]，top-N检索平均值X=x1，x2，. . . ，xN，其中q是注意，C D、X D和Nk。输出：SRC系数τS。将候选置换为Cp={cp，cp，. . . ，cp};并且真实的排名顺序似乎是比OA的成功率更合理的性能度量。初始化评分矩阵对于i ← 1，2，. . . ，k do12kS=0，大小为k×k;3.2. 短程排序相关性给出了一个具体的三元组式OA实现节中3.1，但在现实攻击场景中是不可行对于j ← 1，2，. . . ，i − 1 do如果ci∈/X1或cj∈/X则Si，jΣ=−1//超出范围特别地，对于黑盒OA存在多个挑战，包括（1）梯度不可达性。由于网络结构和参数未知，输入的损失梯度是不可达的;（2）缺乏相似性（或距离）分数。 精确的相似性得分很少出现在截断的排序结果中;（3）截断的排名结果。在实践中，排名系统仅呈现前N个排名。或RCp（ci）RCp（cj）和RX（ci）RX（cj）<然后Si，j=+1//一致else ifR（c）>R（c）和R（c） R（c）或ΣRCp（ci）RCp（cj）且RX（ci）>RX（cj）ΣSi，j=−1//不一致（4）有限的查询预算。短时间帧内重复的密集查询可能被识别为威胁，拒绝服务（DoS）攻击。因此，我们认为，returnτS=Σi、jSi，j/（k）优选地在合理数量的查询内构造对抗性示例。这些限制共同使三元组样式的方法无效。为了解决这些问题，我们提出了“短期排名相关性”（SRC;表示为τS）度量，是LOA（Eq. 4）作为黑盒OA的替代损失函数。具体地，为了计算给定C、p和顶部的τSN个重试的候选者Xw。r.t查询q〜，我们首先初始化-将（kk）形零矩阵S置换为Cp=cp1，cp2，. . .，cpk.假设ci，cjCp（i>j，i j）存在于X中，我们定义（ci，cj）为一个协调数τS[1，1]的值反映了真实排名顺序当完全满足指定的顺序，即，如果任意一对ci和cj是协调的，并且C中没有元素从X中消失，则τS将为1。相比之下，当每个候选对不一致或不存在于前N个结果X中时，τS将是1. 总的来说，（τS+ 1）/2%的候选对是一致，其余的是不一致或τS的最大化导致与指定排列的最佳对齐，因为不一致对将被转变为一致对，同时保持C的存在。对，只要RCp（ci）和RX（ci）同时分别大于或小于RCp（cj）和RX（cj），其中RX（ci）表示ci在X中的整数秩值，即，前N个可见光范围。因此，虽然是不可微的，但τS度量可以用作实际的替代对象。对于黑盒OA，即，r*=argmaxr∈Ω τS（q~;C，p），RX（ci）：=argm作为{ci= xm}。否则，定义（ci，cj）Q其实现了与白盒OA非常相似的效果不协调的一对 即一个和谐匹配一个部分的指定排列，并可能导致在方程中的零损失项。1，而不一致对不匹配，并且可能导致等式1中的正损失项1.一、因此，为了近似相对阶数损失LReO（等式10），1）时，一致对和不一致对将分别被分配得分Si，j=+1（作为奖励）和Si，j=1（作为惩罚）。除此之外，当Ci或Cj不存在于X中时，Si，j将被直接分配有4.第一章最后，在比较每对候选的顺序关系并在S中分配惩罚值之后，特别地，当cC存在于X中时，τS退化为p与C在X中的置换之间的KendallX.也就是说，τS也优雅地退化为白色中的τ因为整个排名是可见的。然而，在这方面，τ不适用于截断排序结果。τS不依赖于任何梯度或任何相似性得分，并且可以适应截断的排名结果。当用有效的黑盒优化器（例如，NES [22]），也可以有效地利用有限的查询预算由于本节开始时列出的所有黑盒挑战都得到了处理，因此通过在现实应用中优化τS来执行黑盒OA是可行的S的下三角形的平均得分，不包括对角线是τS，如Algo中所总结的。1.一、1m ∈ {1，2，. . . ，N}，使得Ci= Xm。16418Σk集合C（降级为255−·≤∞联系我们∞ ∈{∞·××22552255255255K= 5K= 10K= 25ε02255425582551625502 4 8 16255 255 255 255022554255825516255Fashion-MNISTN=∞τS0.0000.2860.4120.5480.5990.000 0.184 0.282 0.362 0.3990.0000.0630.1080.1360.149先生2.04.59.112.713.44.5 7.4 10.9 15.212.016.117.618.919.4斯坦福在线产品N=∞τS0.0000.3960.4480.4760.4810.000 0.263 0.348 0.3870.0000.1250.1690.1930.200先生2.05.64.94.24.14.5 12.4 11.2 9.912.031.228.225.525.4表1：具有各种设置的Fashion-MNIST和SOP数据集上的白盒订单攻击∞，我们另外计算候选人的平均排名我报告T攻击的平均平均等级。较大τS值和较小的mR值是优选的。参数设置。 我们将扰动预算设置为ε∈{2，4，8，16}，遵循[27]，对于两个白盒表2：在两个数据集上搜索平衡因子ξ黑盒攻击。 查询预算Q被设置为1。0×103。对于白盒OA，PGD步长η被设置为1，PGD步长η被设置为2。4. 实验为了评估白盒和黑盒OA，我们对Fashion-MNIST[53]和Stanford- Online-Products（SOP）[36]数据集进行实验，这些数据集包括零售商品的图像。首先，我们在Fashion-MNIST上训练了一个具有2-卷积-1-全连接网络的CNN，并且在SOP上训练了一个没有最后一个全连接层的ResNet-18 [21][59]，其专注于绝对排名。然后，我们使用相应的测试集作为候选数据库D来执行OA。此外，我们还在“JD SnapShop”上定性评估黑盒OA在我们的实验中，秩函数RX（）的值从0开始，即，排名第k的候选具有排名值k-1。选择C和P。如前所述，我们假设攻击者倾向于选择候选集合C给定可见范围限制，排名前N的候选。为了简单起见，我们只研究（k，N）-OA，即具有top-k-within-top-N（k）的OAN）候选人被选为C.它具有代表性，因为从前k个候选者中随机选择一些候选者的OA问题结果为C 是（k，N）-OA的子问题。也就是说，只要（k，N）-OA是有效的，我们的攻击对C的任何选择都是有效的。对于白盒OA，我们进行实验，N=，和k5，10，25。 对于黑盒攻击，我们使用N=，50，k，并且k= 5，10，25。为每个查询指定随机置换向量p评估指标。 因为τS等于τ，当N=N，我们使用τS作为白盒和黑盒OA的性能度量。具体地，在每个实验中，我们进行T= 104次OA攻击。 在每次攻击中，我们PGD步骤编号为24。Fashion-MNIST和SOP的平衡参数ξ分别设置为101和103黑盒优化器NES [22]和SPSA [49]的学习率都设置为2/255。有关黑盒优化器的更多详细信息，请参见补充资料。搜索空间降维。作为广泛采用的技巧，对抗扰动搜索空间的降维在[14，9，43，28]中已经被报道是有效的。同样，我们经验减少空间（3 32 32）黑盒OA斯坦福在线产品数据集和“JD SnapShop”。事实上，在没有这种技巧的情况下，可以观察到τS4.1. 白盒订单攻击实验第一批实验是在Fashion-MNIST数据集上进行的，如Tab.1. 一 、 在 原 始 查 询 图 像 （ ε= 0 ） 的 情 况 下 ，（S，）-OA的预期τS性能为0。000，并且当mR等于2时，C保持它们的原始等级。0的情况。在ε= 2/255对抗扰动预算的情况下，我们的OA实现τS= 0。286，平均64。3%2的不等式反映指定的排列是由对抗的例子满足同时，mR从2. 0到4。5，由于对抗性扰动可以将查询嵌入移动到其原始位置[59]，同时寻求更高的τS。然而，4. 5指示C仍然通过损失项LQA+（）在排名结果的最顶部部分中保持可见。随着较大的扰动预算ε，τS度量相应地增加，例如， τS达到0。当ε= 16/255时，该方程的解为599，这意味着接近80%的不等式得到满足。同样，SOP的实验结果可在表的下半部分1，这也证明了我们的方法在不同的设置下的有效性。从D中随机抽取样本作为查询q。最后我们报告T次试验的平均τS当N=2（nconcordant−ndiscordant）=0的解。286;（n一致+n不一致）=1。0的情况。（k）（k）ξ010−1100101102103104105106107时尚-MNISTk= 5，N= ∞，ε= 4/255τS先生0.561 0.467 0.45127.222.718.30.4129.10.274 0.052 0.043 0.012 0.007 0.0024.9 3.2 2.8 2.7 2.7 2.7Stanford在线产品k= 5，N= ∞，ε= 4/255τS先0.932 0.658 0.640 0.634 0.596973.989.8 四十八点一 22.40.4484.90.165 0.092 0.013 0.0012.9 2.8 2.8 2.716419∞··NU −∞255∞图3：在不同ε和ξ设置下的优化过程期间的总损耗L〇 A（左y轴）和L〇 A+项（右y轴）的曲线。第一行用于Fashion-MNIST，而第二行用于SOP数据集。此外，我们注意到，不同的平衡参数LQA+（）导致不同的结果，如表1所示。二、我们在两个数据集上进行ε= 4/255的（δ，）-OA，其中不同的ξ值范围从0到107显然，较大的ξ导致更好（更小）的mR值，但同时由于加权的LQA+（）项主导总损耗，导致更差的τS 在τS和mR之间存在折衷，其通过可调恒定参数τ s有效地控制。因此，我们根据经验将Fashion-MNIST和SOP的mR分别设置为101和103，以便将大多数实验的mR保持在Tab中。1低于一个合理的值，即，一半一半此外，Tab。1揭示了mR趋势w.r.t.两个数据集上的ε不同。为了研究这种违反直觉的现象，我们在图中绘制了损失曲线3 .第三章。对于Fashion-MNIST，在ε= 4/255，ξ=10的情况下，总损耗减小，但LQA+在开始时激增，然后平稳。当ξ增大到102时，LQA+的上升更加平稳。曲线最终在ξ= 104处减小，同时具有小的mR和对τS的显著惩罚。而且“sawtooth-shaped” 这些图表明在不牺牲LQA+ 的情况下优化LReO是困难的。此外，扰动预算是无关紧要的。 比较第一和第四子图，我们发现较大的预算（ε=16）无助于降低优化难度，因为简单Fashion-MNIST数据集的类内方差小于SOP的类内方差，这意味着同一类的样本嵌入是密集聚类的。由于每次更新都可能大幅改变X，因此很难在不显著扰乱排名列表（因此较低的mR）的情况下，针对较高的τS以固定的PGD步长相比之下，SOP数据集的较大类内方差使得LQA+更容易被维护，如图2的第2行所示。3 .第三章。4.2. 黑盒订单攻击实验为了模拟真实世界的攻击场景，我们将为Sec训练的排名模型4.1转换为黑盒版本，这些版本受到第2节中讨论的限制3.2. 在这些模型上进行了黑盒OA实验.为了优化代理损失τS，我们采用并比较了几种黑盒优化器：（1）随机搜索（Rand），它从均匀分布（ε，+ε）中独立地对r的每个维度进行采样，然后将其裁剪为Ωq;（2）Beta攻击（Beta），这是-Attack [31]的修改，它从每个维度的迭代更新的Beta分布（而不是高斯分布）中生成r;（3）粒子群优化（PSO）[42]，一种经典的元启发式黑箱优化器，具有将对抗性扰动裁剪为Ωq的额外步骤;（4）NES [22，52]，使用估计的梯度执行PGD [33];（5）SPSA [49，45]，可以解释为使用不同抽样分布的NES。我们首先研究黑盒（5，∞）-OA，如图所示255LQA+曲线仍在上升和稳定。根据这些线索，我们推测mR的不同曲线模式源于由于不能小于3的固定PGD步长和不同的数据集性质导致的优化难度。3每个微扰元素都应该是1/255的整数倍。在上部（N =）的Tab。3和Tab。五、在这些在几种情况下，τS由于N=而不造成任何语义保持惩罚，这类似于ξ=0的白盒攻击。使用Rand优化器，τS可以优化为0。Fashion-MNIST上ε=4的309随着ε的增加，我们获得了更好的τS结果，以及更大的mR值作为预期的副作用。16420∞N∞255∞2∞∞O算法K = 5K = 10K= 25ε=2255ε=4255ε=8255ε=16255ε=2255ε=4255ε=8255ε=16255ε=2255ε=4255ε=8255ε=16255没有一0.0，2.00.0，2.00.0，2.00.0，2.00.0，4.5 0.0，4.50.0、4.50.0，4.50.0，12.00.0，12.0 0.0，12.00.0，12.0Fasion-MNISTN=∞兰德0.211，2.10.309，2.30.425，3.00.508，7.7 0.172、4.6 0.242、5.00.322，6.40.392，12.70.084，12.30.123，13.10.173，15.80.218，25.8Beta0.241，2.10.360，2.60.478，4.60.580，19.30.210、4.8 0.323、5.70.430，9.60.510、30.30.102、12.40.163，13.80.237，19.70.291，42.7PSO0.265，2.10.381，2.30.477，4.40.580、21.10.239、4.8 0.337、5.70.424，9.70.484，34.00.131，12.70.190，14.60.248，21.70.286、54.2NES0.297，2.30.416，3.10.520，8.70.630，46.30.261、5.00.377、6.60.473，14.30.518，55.60.142，13.00.217，15.90.286，28.30.312，74.3SPSA0.300，2.30.407，3.20.465，7.10.492，16.30.249、5.00.400、6.60.507，12.80.558，27.50.135，12.90.236，16.30.319、27.10.363，46.4fashion-MNISTN= 50兰德0.2070.3160.4240.5010.167 0.2420.3210.3780.0830.1230.1650.172Beta0.2400.3590.4700.5640.204 0.3230.4290.4870.1030.1600.2160.211PSO0.2660.3770.4840.5570.239 0.3320.4200.4580.1340.1830.2200.203NES0.2970.4260.5150.5840.2620.3780.4630.4580.1410.1990.2230.185SPSA0.2920.4070.4680.4900.2530.3970.4990.5370.1310.2140.2600.275fashion-MNISTN=k兰德0.2040.2890.3460.3020.146 0.1810.1860.1240.0530.0620.0490.021Beta0.2370.3420.3720.2750.183 0.2360.2180.1060.0720.0790.0580.020PSO0.2520.3420.3880.2840.1980.2400.2190.0810.0800.0820.0460.013NES0.2740.3600.3810.2820.1980.2340.2130.1130.0710.0760.0550.016SPSA0.2740.3600.4120.4270.1880.2510.2870.2980.0670.0860.0910.095表3：Fashion-MNIST数据集上的黑盒OA在N=实验中，在每个单元中报告（τS，mR），而在每个单元中仅报告当N等于50或k时，在单元中报告τS。更大的k和更小的N使得攻击更难。数据集kRand Beta PSO NES SPSASRC时间fashion-MNIST5fashion-MNIST100.1950.3860.208零点二零八0.2020.2060.4040.223零点二一四0.2130.2280.4350.2490.2360.2350.0800.0870.108fashion-MNIST25SOP标准操作程序510251.9032.6381.949一千八百八十二1.7831.9232.7201.961一千九百五十四1.8361.9362.7451.985一千九百七十五1.8730.0910.0950.117表4：不同黑盒方法的每个（k，50）-OA对抗示例的运行时间（秒）。ε=4，Q=103。由于Rand的所有查询都是独立的，因此实现更好性能的一种直观方法是利用历史查询结果并调整搜索分布。在此之后，我们将-Attack [31]修改为Beta-Attack，将其高斯分布替换为Beta分布，其中r的每个元素都是独立生成的。所有Beta分布参数初始化为1，其中Beta退化为均匀分布（Rand）。在优化过程中，根据τS结果修改概率密度函数选项卡中的结果。3表明β根据表1中的（k，）-OA结果。3和Tab。5、NES和SPSA优于Rand、Beta和PSO。这意味着基于估计梯度的黑盒优化器对于（k，）-OA仍然是最有效和高效的。更大的ε导致τS度量一致增加，以及更差（更大）的mR的副作用。可以预见，当N=50或k时，（k，50）-OA和（k，k）-OA的进一步结果证实了我们的推测，如Tab的中间（N=50）和底部（N=k3和Tab。五、在N=50和固定ε的情况下，导致小mR的算法（特别是对于具有mR50的那些算法）也与（k，i）-0A中的算法相当地执行。<相反，在（k，50）- OA中导致大mR的算法在（k，50）-OA中受到极大的惩罚。结果还显示了OA的一个特殊特征，即τS在某个小ε处达到峰值，且与ε不呈正相关。这在困难的设置中是相当明显的，例如SOP数据集上的（k，k）-OA。简而言之，基于估计梯度的优化器在（k，50）-OA和（k，k）-OA中仍然表现最好，并且不需要过大的扰动预算所有这些实验都证明了优化代理目标τS进行黑盒OA的有效性。据我们所知，基于梯度估计的优化器是最可靠的选择。接下来，我们采用SPSA，并在现实世界的应用程序中执行实际的OA。时间复杂度。虽然算法的复杂性。1是（k2），我们基于Rust4的SRC实现的实际运行时间很短，这是用Python cProfile与Xeon 5118 CPU和GTX1080Ti GPU测量的。如Tab.所示 4、SRC计算仅消耗0. 对于k= 25的SOP上的对抗性示例，五种算法的平均时间为117秒。总的时间消耗主要是排序和PyTorch [37]模型推理。可以预见的是，在现实世界的攻击场景中，时间消耗瓶颈很可能源于与我们的方法无关的其他因素，例如网络延迟和带宽，或服务提供商设置的每秒查询限制。算法可能由于缺少从前N个可见光范围中选择的候选。4Rust编程语言。见https://www.rust-lang.org/。16421∞××255≺≺≺ ≺255算法K= 5K= 10K = 25ε=2255ε=4255ε=8255ε=16255ε=2255ε=4255ε=8255ε=16255ε=2255ε=4255ε=8255ε=16255没有一0.0，2.00.0，2.00.0，2.00.0，2.00.0、4.5 0.0、4.5 0.0、4.5 0.0、4.50.0，12.00.0，12.00.0，12.00.0，12.0斯坦福在线产品N=∞兰德0.187，2.60.229，8.50.253，85.8 0.291、649.7 0.167、5.6 0.197、13.2 0.208，92.60.222、716.40.093，14.10.110、27.60.125、146.70.134、903.7Beta0.192，3.30.239，15.30.265、176.70.300、1257.70.158、6.2 0.186、19.9 0.207、139.00.219、992.50.099，15.50.119、37.10.119、206.50.132、1208.5PSO0.122，2.10.170，3.00.208、13.3 0.259、121.4 0.135，4.8 0.177，6.50.206，22.80.222、166.50.104、12.70.122，16.70.137，49.5 0.140、264.2NES0.254，3.40.283，15.60.325、163.00.368、1278.70.312，7.2 0.351、26.3 0.339、227.1 0.332、1486.70.242，18.00.259，51.50.250、324.10.225、1790.8SPSA0.237，3.50.284，11.90.293，75.2 0.318、245.1 0.241、7.8 0.325、22.2 0.362、112.70.383、389.00.155、18.10.229，41.90.286，185.60.306、557.8Stanford在线产品N= 50兰德0.1800.2160.1900.1260.163 0.166 0.1190.0920.0550.0160.003Beta0.1810.2330.2040.1190.153 0.168 0.116 0.0540.0840.0570.0210.003PSO0.1220.1730.1830.1530.135 0.164 0.1370.0930.0830.0420.011NES0.2470.2830.2460.1520.3140.295 0.1950.2110.1360.0540.013SPSA0.2410.2870.2970.3030.2330.298 0.298 0.2920.1250.1300.1140.103斯坦福在线产品N=k兰德0.1480.1000.0870.0260.094 0.044 0.0180.0230.0090.0020.001Beta0.1360.1060.0530.0250.076 0.040 0.010 0.0040.0210.0040.0010.001PSO0.1020.0980.0590.0312019 - 04 - 25 00：00：000.0400.0150.0060.001NES0.1850.1390.0760.0300.1730.097 0.0360.0710.0270.0070.005SPSA0.1720.1540.1410.1440.1070.104 0.085 0.0690.0260.0250.0170.016表5：斯坦福在线产品数据集上的黑盒OA。在N=实验中，在每个单元中报告（τS，mR），而当N等于50或k时，在单元中仅报告τS。更大的k和更小的N使得攻击更难。算法εKQ不平均τS标准差τS最大τS 最小τS中值τSSPSA1/2555 100 2040.3900.3731.000-0.6000.400SPSA1/255 10 100 2000.1870.2450.822-0.5110.200SPSA1/255 25 100 1530.0390.1370.346-0.3460.033算法εKQ不平均τS标准差τS最大τS 最小τS中值τSSPSA8/ 2555 100 1050.4520.3791.000-0.4000.600SPSA8/ 25510 100 950.1520.2170.733-0.3780.156SPSA8/ 25525 100 930.0010.1410.36