[发明专利]利用输入数据结构的高效黑盒对抗性攻击

说明书

利用输入数据结构的高效黑盒对抗性攻击。马尔可夫随机场参数被标识以用于分类器的损失函数的梯度项之间的相关性的协方差建模。根据正态分布从图像数据集对图像子集进行采样，以估计梯度项。黑盒梯度估计用于根据采样推断马尔可夫随机场参数的值。由推断值生成傅立叶基向量。使用傅立叶基向量扰动原始图像以获得损失函数值。从损失函数值获得梯度的估计。使用估计的梯度创建图像扰动。图像扰动被添加到原始输入以生成候选对抗性输入，该候选对抗性输入使分类器标识图像中的损失最大化。查询神经网络分类器以确定针对候选对抗性输入的分类器预测。

技术领域

本公开涉及以对抗性方式基于深度神经网络的攻击分类器，并且更具体地涉及利用至分类器的输入数据的结构的高效黑盒对抗性攻击。

背景技术

黑盒对抗性攻击是活跃的研究领域。以下三篇参考文献各自描述了用于制作黑盒对抗性示例的方法。一种使用自然演进策略的方法在International Conference on Machine Learning（arXiv:1804.08598）中刊登的Ilyas, A., Engstrom, L., Athalye,A., Lin, J.（2018年7月）Black-box Adversarial Attacks with Limited Queriesand Information中找到。该参考文献定义了三个真实的威胁模型，其更准确地表征许多现实世界的分类器：查询限制的设置、部分信息设置和仅标签设置。该参考文献开发了新的攻击，所述新的攻击在这些更严格的威胁模型之下欺骗分类器，而先前的方法将是不实际或无效的。该参考文献表明，在我们提出的威胁模型之下，我们的方法针对ImageNet分类器是有效的。该参考文献还表明针对商业分类器的有针对性的黑盒攻击，从而克服了有限查询访问、部分信息和其他实际问题的挑战，以打破谷歌云视觉API。

一种利用梯度先验估计梯度以及然后执行梯度下降的方法在Ilyas, A.,Engstrom, L., Madry, A.（2018）. Prior convictions: Black-box adversarialattacks with bandits and priors（arXiv预印本arXiv:1807.07978）中找到。该参考文献研究了在黑盒设置中生成对抗性示例的问题，在该黑盒设置中，仅对模型的loss-oracle访问是可用的。该参考文献引入了一个框架，该框架在概念上统一了关于黑盒攻击的许多现有工作，并且表明了当前最先进的方法在自然意义上是最优的。尽管有这种最优性，但是该参考文献示出了如何通过将新的元素带入该问题中来改进黑盒攻击，所述新的元素即梯度先验。该参考文献给出了一种基于强盗优化（bandit optimization-based）的算法，该算法允许无缝地集成任何这样的先验，并且明确地标识和结合两个示例。

一种使用子模块优化的方法可以在Moon, S., An, G., Song, H. O.（2019）Parsimonious Black-Box Adversarial Attacks via Efficient CombinatorialOptimization（arXiv预印本arXiv:1905.06635）中找到。该参考文献提出了用于优化问题的高效离散替代物，该高效离散替代物不要求估计梯度，并且因此变得不需要调谐一阶更新超参数。在Cifar-10和ImageNet上的实验示出了与多个最近提出的方法相比在要求的查询中显著降低的情况下的黑盒攻击性能。

发明内容