Sviluppi negli attacchi black-box con CGBA
Presentiamo CGBA, un nuovo metodo per la manipolazione efficiente di immagini avversarie in scenari a scatola nera.
― 6 leggere min
Indice
Nel mondo del machine learning, i sistemi possono essere ingannati a prendere decisioni sbagliate tramite manipolazioni intelligenti. Questo è particolarmente importante in aree come il riconoscimento delle immagini, dove l'obiettivo è far sì che un computer classifichi male un'immagine alterandola leggermente. Uno dei modi popolari per farlo è attraverso Attacchi Black-box, dove l'attaccante non conosce il funzionamento interno del modello ma può comunque testarlo inviando immagini e osservando le risposte.
Gli attacchi black-box possono essere divisi grosso modo in due tipi: attacchi white-box e attacchi black-box. Negli attacchi white-box, l'attaccante ha accesso completo al modello e ai suoi parametri, mentre gli attacchi black-box consentono solo interazioni limitate: solitamente immettendo dati e ricevendo output senza capire i meccanismi interni. Questo rende gli attacchi black-box più applicabili a scenari reali, dove gli attaccanti potrebbero non avere accesso completo al modello.
La Sfida
Una delle principali sfide negli attacchi black-box è che creare un'immagine modificata, chiamata esempio avversariale, richiede spesso molte query al modello. Ogni query costa tempo e risorse, rendendo i metodi efficienti molto importanti. Gli attuali attacchi black-box basati su decisioni sono frequentemente inefficienti perché si basano sull'approssimazione dei confini tra le classificazioni. Questi confini possono variare molto, causando problemi quando si cerca di trovare la giusta perturbazione per ingannare il modello.
Un metodo comune consiste nel calcolare una direzione verso il confine basata su vettori normali in determinati punti. Tuttavia, questo può portare a inefficienze e risultati scarsi, specialmente quando il Confine Decisionale del modello è complesso o molto curvo.
Metodo Proposto: Attacco Geometrico Black-Box Consapevole della Curvatura (CGBA)
Per affrontare queste sfide, introduciamo un nuovo approccio chiamato Attacco Geometrico Black-Box Consapevole della Curvatura (CGBA). Questo metodo migliora l'efficienza nella creazione di Esempi avversariali cercando i confini decisionali lungo un percorso semicircolare su un piano 2D. Questo permette una gestione migliore delle varie forme di confine, indipendentemente dalla loro complessità o curvatura.
Caratteristiche Chiave del CGBA
Ricerca dei Confini: Il metodo CGBA cerca sistematicamente lungo un percorso curvo, il che può dare risultati più accurati rispetto alla ricerca lineare. Questo è particolarmente efficace per confini che non sono dritti, permettendo al metodo di trovare esempi avversariali migliori.
Efficienza: Il nostro metodo è progettato per ridurre al minimo il numero di query necessarie per trovare esempi avversariali. Questo non solo fa risparmiare tempo, ma rende anche l'attacco più pratico negli scenari reali.
Adattabilità: CGBA può adattare il suo approccio in base alla curvatura del confine decisionale. Quando il confine non è molto curvo, si comporta eccezionalmente bene. Inoltre, abbiamo una variante chiamata CGBA-H che è ottimizzata per situazioni in cui i confini sono altamente curvi.
Attacchi Basati sulle Decisioni
Gli attacchi basati sulle decisioni si basano esclusivamente sulla previsione principale del modello senza ulteriori informazioni. Questo tipo di attacco è comune in situazioni in cui l'accesso al modello sottostante è limitato. Ci sono varie strategie all'interno di questo tipo di attacco, ma spesso condividono una dipendenza da vettori normali e approssimazioni dei confini.
Limitazioni dei Metodi Esistenti
I metodi esistenti hanno diverse debolezze quando si tratta di creare esempi avversariali:
Inaccuratezza: I metodi che si basano sulla stima dei vettori normali possono giudicare male la direzione reale, portando a query inefficaci e a un aumento della perturbazione.
Convergenza Limitata: Quando si affrontano regioni avversariali strette o confini altamente curvi, i metodi di ricerca tradizionali spesso falliscono nel trovare il punto appropriato per le regolazioni di perturbazione.
Alto Numero di Query: Molti metodi esistenti richiedono un numero enorme di query prima di convergere su un esempio avversariale efficace.
L'Approccio Geometrico
Ricerca lungo un Percorso Semicircolare
L'idea principale alla base del CGBA è effettuare la ricerca del confine lungo un percorso semicircolare in un piano 2D definito. Utilizzando due vettori principali-uno che punta verso il confine e l'altro che è il vettore normale stimato-il metodo guida la ricerca in modo efficace.
BSSP (Ricerca del Confine lungo un Percorso Semicircolare)
La Ricerca del Confine lungo un Percorso Semicircolare (BSSP) è un componente significativo del framework CGBA. Invece di seguire un percorso dritto verso il confine, BSSP consente di esplorare punti potenziali in modo più dinamico. Questo è particolarmente utile per curve, poiché garantisce che la ricerca non perda punti validi che un percorso dritto potrebbe trascurare.
Migliorie per Attacchi Mirati
Per gli attacchi mirati, dove c'è una classe specifica che l'attaccante vuole che il modello classifichi male, abbiamo sviluppato una versione migliorata chiamata CGBA-H. Questa variante è progettata per ottimizzare ulteriormente il processo di ricerca, adattandosi rapidamente a scenari che comportano confini ad alta curvatura.
Strategia di Inizializzazione
Un buon punto di partenza per la ricerca del confine può influenzare significativamente le prestazioni. Invece di direzioni di ricerca casuali, CGBA stabilisce una strategia di inizializzazione più intelligente. Selezionando direzioni casuali basate su classi precedentemente osservate, possiamo meglio mirare la ricerca per una perturbazione di successo.
Esperimenti e Risultati
Dataset e Modelli
Per testare l'efficacia del CGBA e del CGBA-H, abbiamo utilizzato dataset come ImageNet e CIFAR10. Sono stati impiegati diversi classificatori noti, tra cui ResNet e VGG, per valutare le prestazioni in varie condizioni.
Metriche di Prestazione
Abbiamo misurato il successo dei nostri metodi utilizzando tre metriche chiave:
Norma Mediana della Perturbazione: Questo misura quanto disturbo è necessario per ingannare il modello.
Tasso di Successo dell'Attacco (ASR): La percentuale di esempi avversariali generati con successo.
Area Sotto la Curva (AUC): Questa indica quanto efficientemente il metodo converge verso la minimizzazione della perturbazione man mano che vengono effettuate più query.
Panoramica dei Risultati
Attacchi Non Mirati: In questi scenari, il CGBA ha costantemente superato i metodi esistenti all'avanguardia utilizzando efficacemente le proprietà di bassa curvatura nei confini decisionali.
Attacchi Mirati: CGBA-H ha mostrato prestazioni superiori quando si trattava di confini altamente curvi, dimostrando l'adattabilità del nostro metodo.
Impatto dell'Inizializzazione: La strategia di inizializzazione ha influenzato direttamente le prestazioni, dimostrando che un buon punto di partenza può migliorare significativamente i risultati, soprattutto negli attacchi mirati.
Conclusione
In sintesi, il CGBA e la sua variante CGBA-H presentano modi innovativi per affrontare le sfide associate agli attacchi avversariali black-box. Concentrandosi sulla ricerca efficace dei confini lungo percorsi semicircolari, i nostri metodi permettono migliori prestazioni sia in scenari non mirati che mirati. Per quanto riguarda le implicazioni di questo lavoro, mostra l'importanza dell'adattabilità e dell'efficienza nel campo in evoluzione del machine learning avversariale, presentando una guida per ulteriori ricerche e sviluppi nella creazione di sistemi di machine learning resilienti.
Titolo: CGBA: Curvature-aware Geometric Black-box Attack
Estratto: Decision-based black-box attacks often necessitate a large number of queries to craft an adversarial example. Moreover, decision-based attacks based on querying boundary points in the estimated normal vector direction often suffer from inefficiency and convergence issues. In this paper, we propose a novel query-efficient curvature-aware geometric decision-based black-box attack (CGBA) that conducts boundary search along a semicircular path on a restricted 2D plane to ensure finding a boundary point successfully irrespective of the boundary curvature. While the proposed CGBA attack can work effectively for an arbitrary decision boundary, it is particularly efficient in exploiting the low curvature to craft high-quality adversarial examples, which is widely seen and experimentally verified in commonly used classifiers under non-targeted attacks. In contrast, the decision boundaries often exhibit higher curvature under targeted attacks. Thus, we develop a new query-efficient variant, CGBA-H, that is adapted for the targeted attack. In addition, we further design an algorithm to obtain a better initial boundary point at the expense of some extra queries, which considerably enhances the performance of the targeted attack. Extensive experiments are conducted to evaluate the performance of our proposed methods against some well-known classifiers on the ImageNet and CIFAR10 datasets, demonstrating the superiority of CGBA and CGBA-H over state-of-the-art non-targeted and targeted attacks, respectively. The source code is available at https://github.com/Farhamdur/CGBA.
Autori: Md Farhamdur Reza, Ali Rahmati, Tianfu Wu, Huaiyu Dai
Ultimo aggiornamento: 2023-08-06 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2308.03163
Fonte PDF: https://arxiv.org/pdf/2308.03163
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.