基于贝叶斯优化与小波变换的黑盒对抗攻击研究.pdfVIP

摘要

对抗样本是一种能够欺骗神经网络模型做出错误判断的恶意样本，对抗样本

的存在可能对基于机器学习与深度学习的应用造成安全隐患。因此，研究对抗样

本的生成及对抗攻击，对检验与提高神经网络分类模型的鲁棒性，有着重要的现

实意义。

黑盒对抗攻击在未获悉模型内部结构的情况下，通过构建目标模型的代理模

型或者向目标模型进行查询，来指导对抗攻击。与白盒对抗攻击相比，黑盒对抗

攻击更符合现实的应用场景。然而，黑盒对抗攻击方法仍然存在着模型查询次数

较高的问题。为此，本文提出了两种降低模型查询量的黑盒对抗攻击方法——

BOBA（BayesianOptimizationBlack-boxAttack）与WTDS（Black-boxAttackbased

onWaveletTransformationandDynamicSampling）。

BOBA使用贝叶斯优化选择样本中最有效的维度进行扰动，能有效减少模型

查询量，仅扰动样本中的少数维度即可生成有效的对抗样本。论文首先给出了

BOBA方法的算法框架，然后详述了其中的关键步骤。（1）构造了一个黑盒目

标函数，将扰动位置与扰动值转化为正确分类的确定性；（2）通过几次迭代生

成有效的对抗样本，在每次迭代中通过贝叶斯优化生成一个有效扰动位置与扰动

值；（3）贝叶斯优化的具体方法是：先使用少量采样数据构造黑盒目标函数的

代理模型，然后基于代理模型使用采样函数不断地选择最有潜力的采样位置并获

取其采样值，用于更新代理模型。

WTDS通过梯度估计方法与梯度下降方法相结合，迭代地在清晰样本中添加

扰动，最终生成能够误导模型的对抗样本。WTDS使用离散小波变换分离样本的

高频分量与低频分量，仅在低频分量中添加扰动，并且在估计低频分量梯度的过

程中，动态地调整采样点数，降低生成对抗样本所需要的模型查询次数。论文给

出了WTDS的算法框架，并阐述了关键步骤。（1）使用离散小波变换分离被攻

击样本的低频分量与高频分量；（2）迭代地使用自然进化策略估计低频分量的

梯度；（3）在自然进化策略中，采用了动态采样策略增强随机性，并使用当前

的估计梯度与历史估计梯度共同指导低频分量的更新，直到生成有效的对抗样本。

最后，论文在CIFAR-10数据集和ILSVRC-2012数据集上分别测试了两种方

法，并与其他共计5种黑盒攻击方法做了实验对比。结果证明：BOBA在仅改变

图像样本的三个像素的情况下达到90%的攻击成功率，且模型查询量降低了

88%~93%；WTDS能够达到100%的攻击成功率，而且相比其他黑盒攻击方法，

在目标攻击和无目标攻击中，模型查询量大大降低，降幅达23%～84%。

关键词：黑盒对抗攻击，深度学习，贝叶斯优化，小波变换，动态采样

Abstract

Theadversarialexampleisakindofmaliciousexamplethatcanmisleadtheneural

networkmodelintomakingwrongprediction.Theexistenceoftheadversarialexample

maycausesecurityriskstotheapplicationsbasedonmachinelearninganddeep

learning.Therefore,itisofgreatpracticalsignificancetostudythegenerationof

adversarialexamplesandadversarialattacksfortestingandimprovingtherobustness

ofneuralnetworkclassificationmodel.

Withoutknowingtheinternalstructureofthemodel,theblack-boxattackcan

guidetheadversaryattackbybuildingthe