《Ensemble adversarial black-box attacks against deep learning systems》笔记
本文目录
- 摘要
- 基于集成的黑盒攻击方法
-
- SCES
- SPES
- 分析
- 总结
摘要
该文系统性地阐述了两种新型的对抗性攻击框架。具体而言, 本研究首次提出了一种名为'选择性级联集成策略'(SCES, 简称为 Selective Cascade Ensemble Strategy)的新方法, 并详细探讨了其在实际应用中的表现特征; 同时, 另一种创新性的'堆叠并行集成策略'(SPES, 简称为 Stack Parallel Ensemble Strategy)也得到了深入分析与验证
基于集成的黑盒攻击方法
本文所提出的两种方案均建立在积分合基础上,并将SCES可被看作是一种串行策略;相比之下,在SPES中则采用了并行与串行相结合的方式。为何选择采用积分合策略作为黑盒反制的核心?就当前研究进展而言,在黑盒环境下主流的技术仍局限于单点防御策略;即仅依赖单个模型来生成反制样本以达到目标效果;现有的防护机制主要包括蒸馏保护与积分合抗�训练等技术手段;然而即便如此现有技术也无法彻底抵御反制措施;因此为了提升反制效能本文提出了一种基于积分合机制的新颖反制方案;如果一种反制样本足以攻破某一系统其潜在破坏性足以使同类系统面临同等威胁;
SCES
如图所示,在初始化阶段应选择k个替代性模型用于串联生成对抗样本。这些被选中的替代性模型对于我们的研究而言属于白盒范畴,并可通过FGSM等多梯度计算方法实现白盒抗受攻击以生成对抗样本。每个被使用的替代性模式所产出的具体抗受干扰样本x_i^*均需通过计算其输入至所有被选用替换性的模式后的误判率(error rate)进行筛选,并根据误判率最小化原则确定下一步将使用的具体模式Model_i。
SPES
如下所示,在图中
分析
两种方法在原理上有一定的相似性,并且它们都采用生成多个替代模型来生产对抗样本;通过集成方式来提升最终对抗样本的复杂度,并使能够有效攻击目标模型。
如图所示,在之前的讨论中提到过一种基于单一替代模型的方法用于生成对抗样本。然而这种方法存在明显的缺陷即难以保证所使用的替代模型与目标系统之间的决策边界具有高度重合性。当两者之间的决策边界差异较大时该方法可能会失效例如在图a中靠近蓝色曲线的小蓝点虽然能够在替换域中被视为有效的对抗实例但在原始系统中却无法有效达到预期效果。为了解决这一问题研究者们建议采用多条替代表格并结合集成学习的方式以提高整体的成功率从而更容易实现对目标系统的有效攻击
总结
两种方法的攻击效果测试结果均不错,在实际应用中表现稳定。然而,在计算资源方面仍面临较大挑战。针对图像领域的发展现状而言,在现有技术的基础上进行改进的空间已经相对有限。不过就当前阶段而言,默认采用"寻找特征、添加干扰、生成样本"的传统模式,并在此基础上进行优化改进似乎成为一种必然选择。尽管在组织方式上有所创新,但整体效果仍显人工干预痕迹明显