英文题目:《BOOSTING RAY SEARCH PROCEDURE OF HARD-LABEL ATTACKS WITH TRANSFER-BASED PRIORS

中文题目:《基于转移先验的硬标签攻击的Boosting射线算法》

发布于:arxiv

级别:

论文链接:https://arxiv.org/abs/2507.17577

摘要

硬标签攻击是黑盒对抗攻击中最实用、最具挑战性的攻击类型之一,其中只有前1个预测标签可用。一种有效的方法是从良性图像中搜索最佳射线方向,以最小化到敌对区域的p范数距离。该方法的独特优点是将硬标签攻击转化为连续优化问题。目标函数值是射线的半径,其可以通过以高查询代价的二分搜索来获得。现有的方法在梯度估计中使用“符号技巧”来减少查询的数量。本文从理论上分析了这种梯度估计的性能,并提出了一种新的先验指导方法,从理论和实验上提高射线搜索效率。具体地说,我们利用了来自代理模型的基于转移的先验,并且我们的梯度估计器通过以查询高效的方式将真实梯度的投影近似到由这些先验和随机方向生成的子空间上来适当地积分它们。我们从理论上推导了所得到的梯度估计与真实梯度之间的期望余弦相似性,并证明了通过引入先验信息所实现的改进。在ImageNet和CIFAR-10数据集上的实验结果表明,本文算法在查询效率上明显优于11种最先进的方法。

本文聚焦的问题

硬标签攻击(hard-label attacks)这一特定类型的黑盒对抗攻击(black-box adversarial attacks)。硬标签攻击是指攻击者只能获取模型预测的top-1标签,而无法获取模型输出的具体置信度或梯度信息。这种攻击方式在实际应用中具有较高的挑战性,因为攻击者缺乏足够的信息来直接优化攻击方向。

本文提出的方法

利用代理模型的梯度信息作为先验,通过计算代理模型的梯度来近似目标模模型的梯度。提出了一种新的梯度估计方法(Prior-Sign-OPT和Prior-OPT),通过将先验信息与随机方向相结合,更准确地估计目标模型的梯度。通过数学推导,分析了所提出方法的梯度估计质量,并与现有方法进行了比较。

阅读总结

显著提高查询效率;提高攻击成功率