Efficient Black-box Adversarial Attacks via Bayesian Optimization Guided by a Function Prior

要約

この論文では、クエリを入力するためのモデルの出力フィードバックのみを使用して、ブラック ボックス モデルに対する敵対的な例を生成することを目的とした、挑戦的なブラック ボックス敵対的攻撃について研究します。
以前のいくつかの方法では、敵対的転送可能性により、サロゲート ホワイト ボックス モデルの勾配をクエリベースの攻撃に組み込むことで、クエリの効率を向上させていました。
ただし、局所的な勾配は十分な情報を提供しないため、これらの方法は依然としてクエリ集中型になります。
この論文では、ブラックボックス攻撃における事前のグローバル関数としてサロゲート モデルを活用する、事前ガイド付きベイジアン最適化 (P-BO) アルゴリズムを提案します。
サロゲート モデルにはブラック ボックス モデルの豊富な事前情報が含まれているため、P-BO は、平均関数がサロゲート モデルの損失として初期化されるガウス過程を使用して攻撃目標をモデル化します。
リグレスバウンドに関する私たちの理論的分析は、P-BO のパフォーマンスが不適切な事前分布によって影響を受ける可能性があることを示しています。
したがって、我々はさらに、リグレス限界を最小限に抑えることによって事前関数の係数を自動的に調整する適応統合戦略を提案します。
画像分類器と大規模ビジョン言語モデルに関する広範な実験により、最先端のブラックボックス攻撃と比較して、クエリを削減し、攻撃の成功率を向上させるという点で、提案されたアルゴリズムの優位性が実証されました。
コードは https://github.com/yibo-miao/PBO- Attack で入手できます。

要約(オリジナル)

This paper studies the challenging black-box adversarial attack that aims to generate adversarial examples against a black-box model by only using output feedback of the model to input queries. Some previous methods improve the query efficiency by incorporating the gradient of a surrogate white-box model into query-based attacks due to the adversarial transferability. However, the localized gradient is not informative enough, making these methods still query-intensive. In this paper, we propose a Prior-guided Bayesian Optimization (P-BO) algorithm that leverages the surrogate model as a global function prior in black-box adversarial attacks. As the surrogate model contains rich prior information of the black-box one, P-BO models the attack objective with a Gaussian process whose mean function is initialized as the surrogate model’s loss. Our theoretical analysis on the regret bound indicates that the performance of P-BO may be affected by a bad prior. Therefore, we further propose an adaptive integration strategy to automatically adjust a coefficient on the function prior by minimizing the regret bound. Extensive experiments on image classifiers and large vision-language models demonstrate the superiority of the proposed algorithm in reducing queries and improving attack success rates compared with the state-of-the-art black-box attacks. Code is available at https://github.com/yibo-miao/PBO-Attack.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google