【论文阅读】Partial Retraining Substitute Model for Query-Limited Black-Box Attacks
摘要
针对深度神经网络(DNN)分类器的黑盒攻击正受到越来越多的关注,因为它们在现实世界中比白盒攻击更实用。在黑盒环境中,对手对目标模型的了解有限。这使得难以估计用于制作对抗示例的梯度,从而无法将强大的白盒算法直接应用于黑盒攻击。因此,一种著名的黑盒攻击策略会创建本地DNN(称为替代模型)来模拟目标模型。然后,对手使用替代模型而不是未知目标模型来制作对手示例。替代模型重复查询过程,并通过观察目标模型对查询的响应中的标签来进行训练。然而,模拟目标模型通常需要进行大量查询,因为从一开始就训练新的DNN。在这项研究中,我们提出了一种新的替代模型训练方法,以最大程度地减少查询数量。我们认为查询数量是实施实际黑盒攻击的重要因素,因为现实世界的系统通常出于安全和财务目的限制查询。为了减少查询数量,所提出的方法不模拟整个目标模型,而仅基于当前攻击来调整部分分类边界。此外,它在预训练阶段不使用查询,而仅在再训练阶段创建查询。实验结果表明,该方法在查询数量和针对MNIST,VGGFace2,在查询受限的黑盒环境中使用ImageNet分类器。此外,我们展示了针对商业分类器Google AutoML Vision的黑盒攻击。
引言
深度神经网络 (DNN) 分类器在许多领域都取得了重大进展。尽管取得了巨大的成功,但最近的研究表明,DNN 容易受到设计良好的输入样本(称为对抗性样本)的影响。
对抗性示例的早期研究使用白盒环境,在这种环境中,攻击者可以不受限制地访问目