这项工作研究了针对深度神经网络 (DNN) 的黑盒对抗性攻击，其中攻击者只能访问被攻击的 DNN 模型返回的查询反馈，而模型参数或训练数据集等其他信息是未知的。提高攻击性能的一种有前途的方法是利用一些白盒代理模型和目标模型（即被攻击模型）之间的对抗性可迁移性。然而，由于代理模型和目标模型之间的模型架构和训练数据集可能存在差异，被称为“代理偏差”，对抗性可迁移性对提高攻击性能的贡献可能会被削弱。为了解决这个问题，我们创新地提出了一种黑盒攻击方法，通过开发一种对抗性可转移性的新机制，该机制对代理偏差具有鲁棒性。总体思路是将代理模型的条件对抗分布（CAD）的部分参数转移，同时根据对目标模型的查询学习未转移的参数，以保持在任何新的良性样本上调整目标模型的 CAD 的灵活性。

本文采用了条件生成流模型，称为c-Glow，其一般思想是通过可逆网络将简单分布（如高斯分布）可逆地映射为复杂分布，如图1（a），此外，我们开发了一种基于 7，而不是代价高昂的生成对抗性扰动，从而可以高效、准确地逼近代理模型的CAD。

文章贡献：

通过设计一种新的对抗传输机制，我们提出了一种有效的黑箱攻击方法，该机制只传输条件对抗分布的部分参数，对代理模型和目标模型之间的代理偏差具有鲁棒性。
我们是第一个使用c-Glow模型近似CAD的人，并设计了一种基于随机采样扰动的高效训练算法。
大量实验表明，通过同时提高攻击成功率和查询效率，所提出的攻击方法优于几种最先进的（SOTA）黑盒方法

方法：

黑盒攻击的问题表述

扰动范围

攻击问题可以表述为最小化

是一个非负的数，如果为0 ，则对应的扰动是一个成功的扰动

条件对抗建模

使用c-Glow模型对CAD建模

c-Glow可以表示为反函数

可以进一步分解为M逆函数的组成

c-Glow模型可以由具有M层的神经网络表示（M设置为3）。每层由一个条件actnorm模块、一个条件1×1卷积模块和一个条件耦合模块组成。c-Glow的一般结构如图1（a）所示。

用c-Glow近似CAD

给定x的扰动条件似然可以表示为：

基于能量的模型

为了获取扰动在x周围的分布，定义了一个基于能量的模型

并且，设置：

Minimization of KL divergence

给定一个良性样本，θ的学习被表示为以下目标的最小化：

采用基于梯度的方法来优化这个问题，定理1，是L关于θ的梯度

CG-ATTACK

基于进化策略(ES )的攻击方法：

ES的一般思想是引入搜索分布来采样多个扰动η，然后将这些扰动输入目标模型，以评估相应的目标值Ladv（η，x，y），然后根据一些策略（例如，Natural ES[52，53]，CMA-ES[19]）来更新搜索分布的参数。重复此过程，直到发现一个成功的对抗扰动（即Ladv（η，x，y）=0）。
我们没有像TREMBA和N ATTACK中那样采用简单的高斯分布作为搜索分布，而是将搜索分布指定为由c-Glow模型建模的CAD。

一种新颖的CAD传输机制。:

上述基于ES的黑盒攻击方法的一个主要挑战是，c-Glow模型的参数明显多于高斯模型，并且可能需要更多的查询来学习好的参数。因此，我们求助于对抗性迁移，即首先使用第3.2.3节中的学习算法学习基于一些白盒代理模型的c-Glow模型，然后将此学习的c-Glov模型转换为近似目标模型的CAD。然而，如第3.1节所述，由于代理偏差，代理模型和目标模型的CAD应该不同。整个c-Glow模型的转移可能会导致负转移，从而损害攻击性能。因此，我们提出了一种新的传输机制，即只传输c-Glow模型的映射参数φ，而其余的高斯参数μ和σ是根据对目标模型的查询来学习的，如图1（c）所示。

我们认为，这种部分转移机制有两个主要优点。1）它保持了在当前受攻击样本x上自动调整目标模型CAD的灵活性，以减轻由于模型架构和训练样本的代理偏差而可能产生的负面影响。2）由于这种转移只与条件概率Pθ（η|x）有关，而与边际概率P（y）无关，因此它应该对训练类标签的替代偏差具有鲁棒性。上述优点使得利用这种部分传输机制的攻击方法在实际场景中更加实用，尤其是在开放集场景中。将基于ES的攻击与基于条件发光模型的部分传输机制相结合的攻击方法称为CG-ATTAC

降维：

这里我们还将降维技术与CG-ATTACK相结合。具体来说，我们采用了基于离散余弦变换（DCT）的技术。算法1总结了使用DCT的CG-ATTACK的一般过程，其中我们采用了一种流行的基于ES的方法变体，即协方差矩阵自适应进化策略（CMAES）[19]作为基本算法。

结论：

这项工作提出了一种新的基于分数的黑盒攻击方法，称为CG-attack。其主要思想是开发一种新的对抗性可转让机制，该机制对代理偏差具有鲁棒性。更具体地说，我们建议只传递代理模型CAD的部分参数，而其余参数则根据对目标模型的查询进行调整。我们利用强大的c-Glow模型对CAD进行精确建模，并开发了一种基于随机采样扰动的新型高效学习方法。在封闭集和开放集场景中，对两个基准数据集上的四个DNN模型进行了广泛的实验，以及对真实API的攻击，充分验证了CG-attack的优越攻击性能。

Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution相关推荐

《Image-to-Image Translation with Conditional Adversarial Networks》文章翻译
图1 在图像处理,计算机图形.视觉中,将一幅图输入转换到另一张图输出的过程中存在很多问题.即使这里面的一些设置总是相同的,都是图像像素的映射,但这些问题通常使用特殊应用的算法.CAN似乎能很好的解决各 ...
CVPR2017/图像翻译：Image-to-Image Translation with Conditional Adversarial Networks基于条件对抗网络的图像到图像的翻译
CVPR2017/图像翻译:Image-to-Image Translation with Conditional Adversarial Networks基于条件对抗网络的图像到图像的翻译 0.摘要 ...
【文献阅读】Age Progress/Regression by Conditional Adversarial Autoencoder 基于条件对抗自编码器(CAAE)的老化/去龄化方案
目录摘要 1 引言 2 相关工作 2.1 老化和去龄化 2.2 生成对抗网络 3 在流形上移动 4 方法 4.1 条件对抗自编码器 4.2 目标函数 4.3 作用于zzz的判别器 4.4 作用于人脸 ...
Conditional Guassian Distribution 条件高斯分布及其证明
Conditional Guassian Distribution 条件高斯分布及其证明 1. 写在前面 2. 高斯分布 2.1 一元高斯分布 2.2 多元高斯分布 3. 条件高斯分布 3.1 准备工 ...
Image-to-Image Translation with Conditional Adversarial Networks 论文翻译
基于条件对抗网络的图像转换源论文标题:Image-to-Image Translation with Conditional Adversarial Networks 源论文链接:https://p ...
【翻译】Image-to-Image Translation with Conditional Adversarial Networks
条件生成网络实现图对图翻译原论文标题:Image-to-Image Translation with Conditional Adversarial Networks Isola P, Zhu J ...
pix2pix鼻祖——《Image-to-Image Translation with Conditional Adversarial Networks》论文解析
今天要说的这篇论文,全名<Image-to-Image Translation with Conditional Adversarial Networks>,来自CVPR2017.这一篇可 ...
[论文笔记]：Image-to-Image Translation with Conditional Adversarial Networks
Image-to-Image Translation with Conditional Adversarial Networks 论文翻译摘要 1. 介绍 2. 相关工作 3. 方法 3.1 评估 ...
Image-to-Image Translation with conditional Adversarial Networks ---- Pix-2-Pix
任务场景 Photos to semantic segmentation Cityscapes labels to photos Colorization Facades labels to phot ...

Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution