Boosting Decision-Based Black-Box Adversarial Attack with Gradient Priors

要約

意思決定ベースの手法は、満足のいくパフォーマンスを得ることができ、最終モデルの予測にアクセスするだけで済むため、ブラックボックス型の敵対的攻撃に効果的であることが示されています。
勾配推定はクエリの効率に直接影響するため、ブラックボックス攻撃における重要なステップです。
最近の研究では、より良い結果を得るためにスコアベースの方法を容易にするために勾配事前分布を利用することが試みられています。
ただし、これらの勾配事前分布には依然としてエッジ勾配の不一致の問題と連続する反復勾配方向の問題があるため、単純に決定ベースの方法に拡張することは困難です。
この論文では、データ依存の事前勾配と時間依存の事前を勾配推定手順にシームレスに統合する、勾配事前確率を使用した新しい意思決定ベースのブラックボックス攻撃フレームワーク (DBA-GP) を提案します。
まず、結合バイラテラル フィルターを利用して各ランダムな摂動に対処することで、DBA-GP は、エッジ位置で生成された摂動がほとんど平滑化されていないことを保証できます。つまり、エッジの勾配の不一致が軽減され、元の画像の特性が最大限に維持されます。
可能。
第 2 に、新しい勾配更新戦略を利用して連続する反復勾配方向を自動的に調整することにより、DBA-GP は収束速度を加速し、クエリ効率を向上させることができます。
広範な実験により、提案された方法が他の強力なベースラインよりも大幅に優れていることが実証されました。

要約(オリジナル)

Decision-based methods have shown to be effective in black-box adversarial attacks, as they can obtain satisfactory performance and only require to access the final model prediction. Gradient estimation is a critical step in black-box adversarial attacks, as it will directly affect the query efficiency. Recent works have attempted to utilize gradient priors to facilitate score-based methods to obtain better results. However, these gradient priors still suffer from the edge gradient discrepancy issue and the successive iteration gradient direction issue, thus are difficult to simply extend to decision-based methods. In this paper, we propose a novel Decision-based Black-box Attack framework with Gradient Priors (DBA-GP), which seamlessly integrates the data-dependent gradient prior and time-dependent prior into the gradient estimation procedure. First, by leveraging the joint bilateral filter to deal with each random perturbation, DBA-GP can guarantee that the generated perturbations in edge locations are hardly smoothed, i.e., alleviating the edge gradient discrepancy, thus remaining the characteristics of the original image as much as possible. Second, by utilizing a new gradient updating strategy to automatically adjust the successive iteration gradient direction, DBA-GP can accelerate the convergence speed, thus improving the query efficiency. Extensive experiments have demonstrated that the proposed method outperforms other strong baselines significantly.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google