在图像分类与对抗实验的过程中,笔者所在的课题组(以下简称“课题组”)发现一种有意思的现象——黑盒模型在查询时存在无效查询。在黑盒模型下,只能用图像查询分类模型,然后获得图像所对应的前K 种标签及其置信度。这种设定被称为局部信息设定。于是,定义所有使目标分类不在前K 种分类的查询都为无效查询。如此定义主要原因是,如果查询目标分类不在前K 种分类,那么将无法获取其置信度,这将导致无法计算其交叉熵以及交叉熵的梯度,甚至连估算都做不到。此处的梯度是指广义梯度,即如果查询无效,则无法利用查询数据来获取对目标分类有利的修改方向。
目前,已经有一些黑盒攻击方法(如 NES + PGD、Decision Based Attack[40])注意到无效查询问题。这两种攻击方法都采取同时输入两幅图像(一幅原始图像、一幅目标图像)的方式开始攻击。为了提高黑盒查询效率,它们都采取从目标图像附近加扰动的方式开始攻击,由于目标图像附近被分类为目标分类的概率较大,因此它们在攻击前期确实能够显著降低无效查询次数。但在攻击后期,随着对抗图像向原始图像靠拢,无效查询开始出现,并阻碍对抗攻击的进展。
无效查询已经成为阻碍黑盒攻击的主要因素。课题组对NES + PGD 进行复现实验时发现,每次攻击速度降低的时候,都是无效查询出现的时候。无效查询的出现会浪费很多查询次数,程序就像掉进了迷雾,进化结果停滞不前,甚至得到比之前更差的结果。(www.xing528.com)
为了解决局部信息设定下的查询无效问题,本节提出了一种基于自适应协方差矩阵(Covariance Matrix Adaptation,CMA)进化策略的有效查询定位算法,称为有效进化算法。同时,本节给出了配合有效进化的对抗样本生成方法以及扰动压缩算法。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
