投影概率驱动的黑箱攻击在高维空间中通过减少解空间和优化问题的方式提高攻击成功率

362投影概率驱动的黑箱攻击李杰1、季荣荣1、刘红1、刘建庄2、钟必能3、程登4、齐天2、1厦门大学信息学院人工智能系2、华为技术诺亚方舟实验室3、华侨大学4、西安电子科技outlook.com，rrji@xmu.edu.cn，lynnliu. gmail.com，liu. huawei.com，bnzhong@hqu.edu.cn，chdeng. gmail.com，huawei.com，摘要在黑盒环境中生成对抗性示例仍然是一个具有巨大实际应用前景的重大挑战。特别地，现有的黑盒攻击由于需要过多的查询而受到影响，因为在高维空间中找到适当的方向来优化是不平凡的。在本文中，我们提出了投影概率驱动的黑盒攻击（PPBA）来解决这个问题，通过减少解决方案的空间，并提供更好的优化。为了减少解空间，我们首先将对抗性扰动优化问题建模为利用压缩感知恢复频率稀疏扰动的过程，在低频空间中的随机噪声更可能是对抗性的设置下。 然后，我们提出了一种简单的方法来构建一个低频约束传感矩阵，它作为一个即插即用的投影矩阵，以减少维。这种传感矩阵被证明是足够灵活的，可以集成到现有的方法，如NES和BanditsTD。为了更好地优化，我们执行一个随机游走与概率驱动的策略，它利用所有的查询在整个进程中，充分利用感测矩阵的查询预算较少。大量的实验表明，我们的方法需要最多少24%的查询与更高的攻击成功率相比，国家的最先进的方法。最后，在真实世界的在线服务上评估攻击方法，即，Google Cloud Vision API，进一步展示了我们的实用潜力。11. 介绍虽然深度神经网络（DNN）已经证明了它们在广泛的计算机视觉*通讯作者。1复制我们工作的代码可在https：//github.com/theFool32/PPBA任务，他们被证明是容易受到敌对的例子[24，38，40]。在这种情况下，添加到输入样本中的不可感知的扰动可能会误导DNN的输出，这在文献中引起了严重的安全问题[7，15，33]。对抗性攻击通常可以分为白盒攻击和黑盒攻击。在白盒攻击中，对手完全了解受害者模型，包括网络架构和参数，并且可以在梯度下降的指导下在几次迭代内有效地实现几乎100%的攻击成功率[8，16，29，31]。然而，白盒攻击对于像Google Cloud Vision API这样的商业系统不太实用，因为模型无法访问。为此，黑盒攻击，包括基于传输的攻击和基于查询的攻击，更实用，其中对手只能制作模型输入并获得相应的输出。基于转移的攻击[13，25，32]采用从代理白盒模型制作的对抗扰动，并将其转移到黑盒受害者模型。它们需要更少的时间消耗，但遭受低攻击性能，因为目标模型可能是非常不同的代理。为了实现高攻击成功率，最近的作品[9，10]迭代查询以估计梯度，然后执行白盒攻击，或者首先接近决策边界，然后沿着它徘徊。由于输入空间的维数很高，很难找到一个可行的优化方向，这就导致了大量的查询和很高的时间和金钱成本。一些额外的努力已经投入到降低解空间的维度上，如利用自动编码器的潜变量空间[39]或采用低分辨率图像[21]。这些方法本质上是从空间域的角度来缩减解空间，但由于分辨率很低的图像将无法使用，因此降维效果有限，这使得这些方法仍然效率低下。在本文中，我们提出了投影概率驱动的黑盒攻击（PPBA），以实现高363××攻击成功率与几个查询。在高维优化是困难的，并敦促一个较小的解决方案空间[11，28]。另一方面，最近的一些工作[17，34]已经通过实验验证了对抗扰动倾向于位于低频空间，这是原始解空间的子空间。这些都促使我们从频率的角度形成一个更小的搜索空间。考虑到这一点，我们首先通过使用低频约束投影矩阵来缩减解空间，从而减少查询次数。特别是，我们认为这个问题是使用压缩感知与感知矩阵来恢复对抗性扰动。该传感矩阵可以通过在标准基础上应用逆离散余弦变换（DCT）[1]并选择低频部分来制作。感测矩阵作为投影矩阵是利用精细的传感矩阵，我们从图像空间的维度减少了解空间的维度（例如，，224224 3 = 150，528）到非常小的一个（例如，，1，500）。基于这种感知机制，我们提出了一种更适合的概率驱动攻击策略.我们只关心每个维度的方向，在此基础上，我们将每个维度的值分成三个维度。然后，一个概率驱动的策略被踢在整个迭代过程中利用信息来执行随机行走优化。大量的实验表明了所提出的PPBA方法的有效性。通过将所提出的低频感知矩阵集成到各种现有方法中，我们验证了它足够灵活，可以减少9。6%的查询在ImageNet上对VGG-16 [35]具有更高的攻击成功率[12]。PPBA进一步提高了最先进方法的性能[18，20，21]，在ImageNet上Inception v3 [37]的查询至少减少了11% 最 后 ， 我 们 在 真 实 世 界 的图 像 分 类 器 上 评 估PPBA，即。，Google Cloud Vision API，并表明我们的方法可以有效地破坏它，成功率为84%具体而言，本工作的贡献如下：我们将产生对抗性扰动视为恢复稀疏信号，并提出了一种低频感知矩阵来有效地降低解空间的维数。传感矩阵是即插即用的，并且可以集成到用作投影矩阵的现有方法基于该投影矩阵，提出了一种概率驱动的攻击方法，该方法更适合传感器，并在整个迭代过程中充分利用了信息。与最先进的方法[18，20，21]相比，所提出的PPBA方法在ImageNet [12]上预训练的不同神经网络[19，35，37]上实现了更高的性能，并且可以有效地欺骗现实世界的系统。2. 相关工作2.1. 白盒攻击白盒设置下的对手完全了解受害者模型。Szegedy等人 [38]首先证明了故意扰动图像，例如通过添加准不可感知的对抗扰动，可以欺骗神经网络。这些对抗性扰动可以用盒约束L-BFGS来制作[26]。随后，已经提出了各种方法来产生这样的扰动。例如，Goodfellowet al. [16，23]对对抗性示例采取了线性观点，并提出了一步或迭代生成它们的快速方法。Moosavi- Dezfooli等人 [31]试图从决策边界中找到对抗性的例子。Carlini等人 [8]比较了不同的目标函数，提出了一种强有力的&CW攻击方法。注意，这些方法使用梯度信息执行优化，这不能直接应用于黑盒攻击2.2. 黑盒攻击白盒攻击对于许多现实世界的系统来说是不现实的，在这些系统中，既没有模型架构也没有参数。在这种情况下，黑盒攻击是必要的。在黑盒攻击中，对手无法访问目标受害者模型，只能获取模型输入及其相应的输出。在本文中，我们假设输出包括预测置信度，因为这是流行的在线系统的常见设置，例如。、Google Cloud Vision 、Clarifai 和Microsoft Custom Vi-sion。有两种类型的黑盒攻击方法，即。、基于传输的攻击和基于查询的攻击：基于传输的攻击。由于在相同数据集上训练的模型可能共享相似的决策边界，因此对抗性示例可以在一定程度上跨模型转移。考虑到这一点，对手对可访问的局部模型执行标准的白盒攻击来构造对手示例，期望将这些示例转移到不可访问的目标模型。一种类型的此类攻击假设本地模型和目标模型是用来自相似分布的数据训练的，并且不需要对目标模型进行查询[27，30，38]。这种攻击的另一种类型是使用代理模型[25，32]来提取目标模型，这需要大量的查询来训练本地模型，因此效率低下。虽然有许多工作专注于提高对抗示例的可转移性[13，41，42]，但基于转移的攻击的攻击成功率仍然不如基于查询的攻击。基于查询的攻击基于查询的攻击定义一个目标函数，并迭代地更新扰动以优化该函数。每次迭代都需要一个或多个查询来确定下一步。作者[13，36]构建了一个进化的对抗性扰动···364····∈∗ǁ ǁ→∈∈ary算法进化算法的效率高度依赖于输入的维数和解空间的大小，这使得这些算法耗时。作者在[3，9]中提出了基于决策的攻击，该攻击从目标图像或具有大范数的扰动开始，以保证对抗性，然后重新2是将输入投影到图像空间中的投影函数，即，，[0，1]d，并且是通过限制lp-范数来使扰动不可见的超参数为了实现目标，我们采用了广泛使用的目标函数，称为C W损失[8]：.沿着决策边界迭代地引入范数尽管这种方法的成功率很高，但它需要大量的查询沿着决策边界min<δL（δ）=[f（x+δ）tMaxj/=t+f（x+δ）j）]、（二）因为边界可能是复杂的。基于查询的攻击的另一Chen等人。 [10]提出了ZOO（零阶优化）攻击，该攻击采用有限差分方法和维度估计来近似梯度值。它在每次迭代中进行2d查询，其中d是输入图像的维度（d可以大于150，000）。 Bhagoji等人 [2]试图通过随机分组或PCA组件映射来减少每次迭代中的查询预算。Tu等[39]利用预训练的自动编码器并优化潜在空间中的扰动。而不是使用有限差分法，Ilyas等人。 [20]提出的NES攻击采用自然进化策略，利用随机向量估计梯度。在[21]中进一步提出了BanditsTD，其将时间和数据相关信息与Bandit理论相结合以降低查询成本。Guo等人。 [18]提出了SimBA-DCT，它从一组正交向量中迭代地添加或减去随机向量，以制作对抗性示例。通过上述方法，相当大的查询成本降低，然而，这仍然远远不能令人满意。3. 该方法其中[ ]+表示max（，0）函数，t是干净的输入对于迭代优化方法，为了保证约束条件δρρ，在δ的每次更新之后需要另一个投影函数。例如，对于l2-范数，投影函数δ2（δ，δ2）=δmin（1，δ2）应该应用于每一步。3.2. 低频投影矩阵3.2.1压缩感知的观点最近的研究发现，对抗性扰动偏向于低频信息[17，34]。假设存在一个最佳低频扰动δε，它在频域中是稀疏的，（一）.因此，ΣδΣ应该是稀疏向量，其中ΣRd×d是将向量从时间/空间域映射到频域的DCT的变换矩阵，并且满足Σ RT= ΣTΣ =I d×d，其中I d×d是标识矩阵。根据压缩感知理论[5，14]，我们可以用测量矩阵恢复稀疏向量Φ∈Rm×d（m<$d）和相应的测量向量z∈Rm ，通过：最小值为2.55，S.T. z=Aδ= Φδ，黑箱问题的大解空间和非有效解空间效率优化仍然是现有技术的两个关键瓶颈F（x+δ）F（x），（3）黑盒攻击方法为了解决这两个问题，我们首先用低频约束传感矩阵从其原始维度减少解空间，如在Sec.3.2.然后，为了进一步降低查询成本，我们提出了一种新的加权随机游走优化的基础上的传感矩阵，如第二节所述。三点三3.1. 预赛给定深度神经网络分类器f：[0，1]dRK将d维的输入图像x映射到K个类的置信度得分，我们定义F（x）= arg maxkf（x）k作为输出预测类的函数对抗分类攻击的目标是其中A = Φ ∈ Rm×d是传感矩阵。测量矩阵Φ可以进一步简化为Φ=[Φm，0]，（ΦmRm×m，0Rm×（d−m）），以抑制高频，考虑到δω偏向低频。注意，正交矩阵不会改变向量变换后的范数，这也保证了压缩感知理论所要求的受限等距性[4，6]。因此，我们直接将Φ m设置为正交矩阵，并通过简单的矩阵乘法将扰动δm恢复为：z= Φ φ δθ，ΦTzδ，找到一个扰动δ∈Rd，满足：联系我们Z=AT zδ（四）.ΣFImg（ x+ δ）F（x），s.t. δ<[2]为了简单起见，我们将在下文中省略它。−365≪不−−联系我们最后，Eq。（3）可以改写为：最小值为1.02，S.T. F（x + A Tz）/= F（x）.（五）因此，我们只需要在m维空间而不是d维空间（m d）中进行优化，这导致了更小的解空间和更高的优化效率。进一步限制了迭代步骤的选择空间。在此基础上，进一步采用随机游动优化方法，随机选取步长，当步长使损失下降时再移动。为了获得更好的性能，而不是采用随机步骤，我们充分利用过去的信息，假设过去的步骤的方向可以在一定程度上指导当前步骤的选择。我们将目标函数改写为等式。（2）如：3.2.2低频透视L（z，A）=[f（x+ATz）−maxj/=t.f（x+ATz）jΣ+]、（8）从另一个角度来看，我们发现，在方程中优化的测量向量z。（5）有其物理意义。最佳扰动向量δε可以由离散余弦基线性表示如下：Σ其中可以应用迭代优化方法如随机游走。特别地，在将Rz定义为随机游走迭代中z的变化之后，针对Rz的每个维度Rz j计算混淆矩阵，如下：δj=αjωj，（6）J其中w j是离散余弦基向量，并且a j是相应的系数。注意，w j包含特定的频率信息，我们还可以查看等式（6）将δj分解为不同频率矢量之和，αj为相应的振幅。 由于可以通过对标准基向量之一应用逆DCT来容易地制作向量ω j，因此我们然后重写Eq. （6）进入其中e−ρ表示损失函数的次数（例如，，方程式（2））在<$z j=ρ时下降，i−ρ表示损失函数在<$zj=ρ时保持静止或上升的次数。我们计算每个可能值的有效比率：ev矩阵乘法的形式如下：P（有效|[001pdf1st-31files]v +iv ，对于v∈ {−ρ，0，ρ}，（9）δθ= θα= θTQα，（7）其中，Ωj是由频率向量ωj形成的矩阵，并且以如下概率采样：P（e fect ive|（zj=v）它的列，是逆DCT的变换矩阵，P（zj=v）=u P（efective|Jesusj、=u）如前所述，Q∈Rd×m是从低频标准基Id×d二次采样的子矩阵，α是幅度向量。比较Eq（7）用Eq。（4），令人鼓舞的是发现：.δε= δTQα，（v，u∈ {−ρ，0，ρ}）（十）因此，当nz j= v时，有效的查询步骤增加了e v的值以及P（e fect iv e|这会导致P（z j= v）的增加，反之亦然。我们证明了在T次迭代中，δTΦTz，δδQαΦTz.δ的界为：不.TTTΣ由于Q是正交的，因此建议通过对标准基3应用逆DCT来构造感测矩阵A的简单且有效的方式，并且测量向量z仅是等式中的幅度α（七）、3.3. 概率驱动优化如第3.2.2中，测量矢量z可以被视为振幅。 因此，z的变化 在每次迭代中，可以通过一个三元组ρ，0，ρ来简化，分别表示将相应的幅度值减小ρ，保持它，以及将它增加ρ。然后3对于2D图像，我们利用2D IDCT，即，，利用1D IDCT两次。e不不−ρ0ρ#有效步骤#无效步骤e−ρi−ρe0级i0eρiρ366Σ·Jδ=tr（zT AAT z）=tr（zT z）=z2=z2≤T×ρ→2J=m×T×ρ，（11）其中，是第j次迭代的π z，ρ→是所有元素值为ρ的向量。尽管有上面的证明，我们仍然使用投影函数来保持范数约束。对于每一次迭代，我们评估是否可以成功地减少目标函数和更新混淆矩阵。 我们接受免费的367←←∈←←算 法 1 投 影 概 率 驱 动 的 黑 盒 攻 击输入：输入图像x，最大查询maxiter.输出：扰动向量δ。1：初始化z0Rm，混淆矩阵，所有元素为1，j02：通过将IDCT应用于Id×d的子矩阵来构造感测矩阵A3：对于j max iterdo4：Gen e. 根据等式2，10询问。对于第二个，平均查询次数（缩写为平均查询次数）可以给出一个粗略的意义。我们报告成功样本和所有样本的平均查询。成功样本的平均值表示需要多少个查询才能成功干扰输入，这更有用。然而，它与成功率密切相关，因此对于低成功率的攻击方法给出了错误的意义因此，我们报告所有样品的平均值作为补充。考虑到大量查询的样本对平均值有很大的影响，我们进一步描绘了成功率与5：如果L<$2（z+<$z），A然后6：z2（z+z）7：如果结束8：如果L（z，A）=0，则9：休息。10：如果结束

下载后可阅读完整内容，剩余1页未读，立即下载