曲率感知的几何决策式黑盒攻击 (CGBA)
摘要
基于决策的黑盒攻击通常需要大量查询才能制作一个对抗样本。此外,基于在估计的法向量方向上查询边界点的决策式攻击常常存在效率低下和收敛问题。在本文中,我们提出了一种新颖的查询高效的曲率感知几何决策式黑盒攻击 (CGBA),该方法在一个受限的二维平面上沿半圆形路径进行边界搜索,从而无论边界曲率如何都能确保成功找到边界点。虽然我们提出的 CGBA 攻击对于任意决策边界都能有效工作,但它在利用低曲率来制作高质量对抗样本方面特别高效,这种低曲率在非目标攻击下的常用分类器中广泛存在并得到了实验验证。相比之下,在目标攻击下,决策边界通常表现出更高的曲率。因此,我们开发了一种新的查询高效变体 CGBA-H,它适用于目标攻击。此外,我们还进一步设计了一种算法,以额外一些查询为代价来获得更好的初始边界点,这显著提升了目标攻击的性能。我们在 ImageNet 和 CIFAR10 数据集上对提出的方法针对一些知名分类器进行了大量实验评估,证明了 CGBA 和 CGBA-H 分别优于最先进的非目标攻击和目标攻击。源代码可在 https://github.com/Farhamdur/CGBA 获取。
1. 引言
对抗攻击大致分为两类:白盒攻击和黑盒攻击。在白盒攻击设置 [12, 23, 3] 中,攻击者拥有目标分类器及其权重的全部知识。然而,在现实场景中获取目标分类器的信息通常是不切实际的。因此,黑盒设置------基于迁移、基于分数和基于决策------是在对分类器了解有限的情况下的实际攻击设置。基于迁移的对抗攻击 [25, 29] 使用替代模型生成对抗样本,尽管它不能保证高攻击成功率。基于分数的攻击 [6, 15] 查询目标分类器以获取所有类别的预测概率,从而在每个步骤中估计梯度并减少扰动。然而,这种攻击策略可能不可行,因为在许多现实应用中,分类器仅返回查询对应的 top-1 分类标签。因此,基于决策的对抗攻击是最实用的对抗攻击,因为它允许攻击者仅通过查询目标分类器的 top-1 分类标签来制作对抗样本。
大多数最先进的基于决策的攻击,如 HSJA [5]、qFool [19]、GeoDA [26]、QEBA [17] 和 TA [20],都基于在决策边界上的点处找到法向量,并迭代搜索具有更小扰动的新边界点。在这些攻击中,HSJA [5]、qFool(目标)[19]、QEBA [17] 和 TA [20] 使用估计的法向量方向来获得对抗区域内的一个点,然后在得到的对抗点与源点之间进行二分搜索以获取新的边界点。然而,上述方法在制作对抗样本时并未明确考虑边界的几何形状。另一方面,qFool(非目标)[19] 和 GeoDA [26] 将边界近似为超平面,并沿着估计的法向量方向 (BSNV) 进行二分搜索来找到新的边界点。如下文进一步讨论的,虽然 BSNV 对于线性近似足够精确的低曲率决策边界是有效的,但其有效性随着决策边界曲率和非线性的增加而降低。对于高曲率边界,由于对抗区域狭窄,BSNV 甚至可能无法触及边界。SurFree [22] 也考虑了超平面边界,并沿半圆形路径进行边界搜索,但它没有利用法向量信息,而是通过随机试验来估计攻击方向。
仔细审视上述基于法向量的攻击,可以发现以下局限性。由于查询预算有限以及边界的非线性,法向量的估计可能不准确。因此,沿着估计的法向量方向搜索时,预期的扰动减少可能不会发生。此外,如果对抗区域足够狭窄,由于无法在搜索方向上找到对抗区域,搜索过程不会朝着扰动减少的方向收敛。从根本上说,这些局限性与由估计法向量决定的一维 (1-D) 搜索性质有关。另一方面,最先进的非目标攻击 SurFree 沿半圆形路径查询对抗点,但没有使用关键的法向量信息来估计攻击方向。受上述观察的启发,我们在本文中提出了一种新的曲率感知几何黑盒攻击 (CGBA),以进一步提高攻击效率。特别地,CGBA 不是朝着估计的法线方向或在某个随机方向上沿半圆形路径进行边界点搜索,而是在一个由两个向量张成的受限二维平面上沿半圆形路径 (BSSP) 进行边界点搜索:这两个向量是从源点到边界点的方向(即图 1 中的 θ^t\hat{\theta}{t}θ^t)以及该边界点上的估计法线方向(即图 1 中的 η^t\hat{\eta}{t}η^t)。如第 4 节和附录 D 进一步说明的,所提出的 CGBA 克服了一维边界搜索的局限性,并且是一种针对低曲率边界的查询高效方法。然而,随着边界曲率的增加,其查询效率逐渐降低。因此,我们将 CGBA 修改为 CGBA-H,它遵循相同的受限二维半圆形路径,但能更快地适应决策边界的高曲率。我们的主要贡献总结如下:
- 我们提出了 CGBA,一种新颖的迭代式基于决策的黑盒攻击,它在受限二维平面上沿半圆形路径进行边界搜索,有效克服了现有基于决策边界上估计法向量的一维搜索的局限性。所提出的 CGBA 攻击能有效利用决策边界的低曲率进行非目标攻击。
- 当决策边界具有高曲率时,我们开发了一个新的变体 CGBA-H,它在目标攻击中取得了更好的性能。
- 此外,我们引入了一种算法来选择更好的初始边界点,并证明了这种初始化方法能显著提升目标攻击的性能。
- 在 ImageNet 和 CIFAR10 上的实验结果表明,CGBA 和 CGBA-H 分别对非目标和目标攻击具有优越性。
2. 相关工作
基于决策的黑盒攻击是最具挑战性的对抗样本获取设置,因为执行此类攻击唯一可用的信息是目标分类器的 top-1 分类标签。一些基于决策的黑盒攻击使用随机搜索,而另一些则基于在决策边界上寻找梯度。边界攻击 [1] 算法沿决策边界进行随机游走,以减少每次查询的扰动,但仍需要大量查询。为了加速 [1] 的性能,有偏边界攻击 [2] 提出了三种先验来减少搜索空间,并表明 Perlin 偏差带来了最有利的效果。OPT [7] 和 Rays [4] 是基于决策的攻击,它们随机搜索最优方向以减少扰动。然而,Rays 仅适用于非目标攻击 [20],并且其性能是针对 ℓ∞\ell_{\infty}ℓ∞ 范数展示的。Sign-OPT [8] 通过计算方向导数的符号来估计梯度,从而提高了 OPT [7] 的查询效率。在 [10] 中,提出了一种进化攻击方法,其中从具有自定义协方差的正态分布中在缩减的搜索空间中抽取随机样本。另一方面,AHA [18] 利用历史查询的均值从正态分布生成随机样本。三角攻击 (TriA) [28] 利用三角形的几何形状进行基于决策的攻击。SurFree [22] 是一种无替代模型算法,声称绕过法向量估计的查询成本将提高查询效率。然而,我们通过在由法向量引导的受限二维平面上进行边界搜索并取得更好的性能,反驳了这一说法。此外,SurFree 仅支持非目标攻击 [20],而我们的方法同时处理非目标和目标攻击。
一些现有攻击依赖于估计边界点上的法向量。HSJA [5] 通过估计决策边界上的法向量来获得扰动更小的边界点,提出了查询高效的方法。qFool [19] 和 GeoDA [26] 基于观察:决策边界在对抗样本附近的曲率很小。为了通过法向量估计提升性能,GeoDA [26](适用于非目标攻击)提出了一种方法,在给定查询预算下将查询最优地分配到各次迭代。QEBA [17] 建立在 HSJA [5] 的基础上,使用降维子空间生成查询以估计法向量方向。QEBA 提出了空间、频率和本征分量子空间,以更好地估计法向量。TA [20] 展示了一种通过获取虚拟半球体的切线来最小化 ℓ2\ell_{2}ℓ2 扰动范数的新方法。
3. 问题定义
设一个预训练的 LLL 类分类器建模为 f(x):Rn→RLf(x): \mathbb{R}^n \to \mathbb{R}^Lf(x):Rn→RL。对于给定的输入图像 x∈[0,1]n\pmb{x} \in [0,1]^nx∈[0,1]n,f∈RLf \in \mathbb{R}^Lf∈RL 是分类器的置信度分数。在基于决策的黑盒攻击中,分类器仅返回 fff 的 top-1 分类标签。分类器 fff 对给定查询 x\pmb{x}x 的输出可以表示为 y^(x)=argmaxj[f(x)]j\hat{y}(x) = \arg \max_{j} [f(x)]_jy^(x)=argmaxj[f(x)]j,其中 [f]j[f]_j[f]j 是第 jjj 类的预测概率,1≤j≤L1 \le j \le L1≤j≤L。
对于一个被分类器 fff 正确分类的源图像 xs\pmb{x}_sxs,目标是找到一个方向 ζ^\hat{\zeta}ζ^,使得 xs\pmb{x}_sxs 可以向该方向移动,从而得到扰动最小的对抗图像。如果查询 xq=xs+d(ζ^)x_q = x_s + d(\hat{\zeta})xq=xs+d(ζ^) 位于对抗区域内,分类器 fff 由于添加的扰动而返回错误的预测,其中 d(ζ^)d(\hat{\zeta})d(ζ^) 表示添加到 xs\pmb{x}_sxs 上的扰动。获取对抗图像的最优方向可以表述为:
ζ^∗=argminζ^∈Rn∥d(ζ^)∥2,s.t. ϕ(xq)=1,(1) \hat{\zeta}^{*} = \arg \min_{\hat{\zeta}\in \mathbb{R}^{n}} \| d(\hat{\zeta})\|{2}, \quad \text{s.t.} \ \phi (x{q}) = 1, \quad (1) ζ^∗=argζ^∈Rnmin∥d(ζ^)∥2,s.t. ϕ(xq)=1,(1)
其中 ∥d(ζ^)∥2=d\| d(\hat{\zeta})\|_{2} = d∥d(ζ^)∥2=d 是沿方向 ζ^\hat{\zeta}ζ^ 添加的扰动的 ℓ2\ell_2ℓ2 范数,ϕ(⋅)\phi(\cdot)ϕ(⋅) 表示指示函数,用于确定查询是被正确分类还是被误分类。对于非目标攻击:
ϕ(xq)={1,if y^(xq)≠y^(xs)−1,otherwise,(2) \phi (x_{q}) = \left\{ \begin{array}{ll}1, & \mathrm{if} \ \hat{y} (x_{q})\neq \hat{y} (x_{s})\\ -1, & \mathrm{otherwise} \end{array} \right., \quad (2) ϕ(xq)={1,−1,if y^(xq)=y^(xs)otherwise,(2)
对于目标攻击,设目标类别标签为 ltl_tlt:
ϕ(xq)={1,if y^(xq)=lt−1,otherwise.(3) \phi (x_{q}) = \left\{ \begin{array}{ll}1, & \mathrm{if} \ \hat{y} (x_{q}) = l_{t}\\ -1, & \mathrm{otherwise} \end{array} \right.. \quad (3) ϕ(xq)={1,−1,if y^(xq)=ltotherwise.(3)
最优方向 ζ^∗\hat{\zeta}^{*}ζ^∗ 产生最小扰动 d(ζ^∗)d(\hat{\zeta}^{*})d(ζ^∗),从而得到期望的对抗图像 xadv∗=xs+d(ζ^∗)x_{adv}^{*} = x_s + d(\hat{\zeta}^{*})xadv∗=xs+d(ζ^∗)。本文提出了针对非目标和目标攻击获取对抗图像的新方法。
4. 提出的方法
基于几何的攻击,如 qFool(非目标)[19]、GeoDA [26] 和 SurFree [22],将决策边界近似为超平面。然而,SurFree 不使用法向量信息,而 qFool 和 GeoDA 在边界曲率足够大时失效。相比之下,CGBA 在由估计法向量引导的半圆形路径上进行边界搜索,这对任意决策边界都有效,并在低到中等曲率下展现出显著改进。此外,我们将 CGBA 修改为 CGBA-H 以进一步适应高曲率设置。我们的方法是迭代的,并在每次迭代中估计边界点的法向量,这是其成功的关键组成部分之一。
图 1: CGBA 的几何示意图。
决策边界上的法向量近似。 假设 xbt\pmb{x}{b_t}xbt 是第 ttt 次迭代时的边界点。为了估计决策边界上的法向量,我们从高斯分布 zi∼N(0,σ2)z_i \sim \mathcal{N}(0,\sigma^2)zi∼N(0,σ2) 生成 NtN_tNt 个随机样本 {zi}i=1Nt\{z_i\}{i=1}^{N_t}{zi}i=1Nt。然后,对于每个样本,我们用 xbt+zix_{b_t} + z_ixbt+zi(i∈{1,...,Nt}i \in \{1,\dots,N_t\}i∈{1,...,Nt})查询分类器,以获得分类器的硬标签预测。使用这些查询及其对应的预测,第 ttt 次迭代边界上的单位法向量可以近似为 [26]:
η^t=∑i=1Ntϕ(xbt+zi)zi∥∑i=1Ntϕ(xbt+zi)zi∥2.(4) \hat{\eta}{t} = \frac{\sum{i = 1}^{N_{t}} \phi(x_{b_{t}} + z_{i}) z_{i}}{\| \sum_{i = 1}^{N_{t}} \phi(x_{b_{t}} + z_{i}) z_{i} \|_{2}}. \quad (4) η^t=∥∑i=1Ntϕ(xbt+zi)zi∥2∑i=1Ntϕ(xbt+zi)zi.(4)
4.1. CGBA
记 υ^t=(xbt−xs)/∥xbt−xs∥2\hat{\upsilon}{t} = (x{b_t} - x_s) / \| x_{b_t} - x_s \|2υ^t=(xbt−xs)/∥xbt−xs∥2 为从源点 xsx_sxs 到边界点 xbtx{b_t}xbt 的方向,η^t\hat{\eta}tη^t 是第 ttt 次迭代在 xbtx{b_t}xbt 处估计的法线方向。该方法的核心思想是在由 (η^t,υ^t)(\hat{\eta}t, \hat{\upsilon}t)(η^t,υ^t) 张成的二维平面上,在半圆形路径上进行边界搜索,以获得更好的后续边界点 xbt+1x{b{t+1}}xbt+1。该半圆形路径位于 η^t\hat{\eta}tη^t 所在的一侧,在 xsx_sxs 和 xbtx{b_t}xbt 之间,以 (xbt+xs)/2(x_{b_t} + x_s)/2(xbt+xs)/2 为圆心,如图 1 所示。在 (η^t,υ^t)(\hat{\eta}_t, \hat{\upsilon}_t)(η^t,υ^t) 张成的平面上执行查询的搜索方向可以计算为:
ζ^t(m)=η^t+mυ^t∥η^t+mυ^t∥2,(5) \hat{\zeta}{t}(m) = \frac{\hat{\eta}{t} + m \hat{\upsilon}{t}}{\| \hat{\eta}{t} + m \hat{\upsilon}{t} \|{2}}, \quad (5) ζ^t(m)=∥η^t+mυ^t∥2η^t+mυ^t,(5)
其中 mmm 是控制搜索方向的乘法因子。对于搜索方向 ζ^t\hat{\zeta}_tζ^t,我们可以计算扰动 d(ζ^t)d(\hat{\zeta}_t)d(ζ^t) 以获取半圆形路径上的查询点:
d(ζ^t)=∥xbt−xs∥2(ζ^t⋅υ^t)ζ^t,(6) d(\hat{\zeta}t) = \| x{b_t} - x_s \|_2 (\hat{\zeta}_t \cdot \hat{\upsilon}_t) \hat{\zeta}_t, \quad (6) d(ζ^t)=∥xbt−xs∥2(ζ^t⋅υ^t)ζ^t,(6)
其中 ∥xbt−xs∥2(ζ^t⋅υ^t)=∥xbt−xs∥2cosψ\| x_{b_t} - x_s \|_2 (\hat{\zeta}_t \cdot \hat{\upsilon}t) = \| x{b_t} - x_s \|_2 \cos \psi∥xbt−xs∥2(ζ^t⋅υ^t)=∥xbt−xs∥2cosψ 表示在方向 ζ^t\hat{\zeta}_tζ^t 上添加的扰动的 ℓ2\ell_2ℓ2 范数,ψ\psiψ 是 ζ^t\hat{\zeta}_tζ^t 和 υ^t\hat{\upsilon}_tυ^t 之间的角度差。通过改变 ζ^t\hat{\zeta}_tζ^t,我们查询目标模型 xq=xs+d(ζ^t)x_q = x_s + d(\hat{\zeta}_t)xq=xs+d(ζ^t),在半圆形路径上进行边界搜索。
所提出的 CGBA 首先在半圆上找到一个非对抗点和一个对抗点,然后逐步缩小对抗点与非对抗点之间的范围,以获得边界点 xbt+1x_{b_{t+1}}xbt+1,这类似于二分搜索。如果 ψi\psi_iψi 是 ζ^t\hat{\zeta}_tζ^t 相对于 υ^t\hat{\upsilon}_tυ^t 的搜索角度,则达到搜索角度 ψi\psi_iψi 的乘法因子 mim_imi 可以计算为:
mi=sinθtcotψi−cosθt;∀i∈Z+,(7) m_i = \sin \theta_t \cot \psi_i - \cos \theta_t; \quad \forall i \in \mathbb{Z}^{+}, \quad (7) mi=sinθtcotψi−cosθt;∀i∈Z+,(7)
其中 θt=cos−1(η^t⋅υ^t)\theta_t = \cos^{-1}(\hat{\eta}t \cdot \hat{\upsilon}t)θt=cos−1(η^t⋅υ^t),ψi=(90∘−90∘2i)\psi_i = (90^{\circ} - \frac{90^{\circ}}{2^{i}})ψi=(90∘−2i90∘),∀i∈Z+\forall i \in \mathbb{Z}^{+}∀i∈Z+。随着 iii 的增加,搜索角度 ψi\psi_iψi 也增加。因此,对于特定的 mim_imi 值,我们获得扰动 d(ζ^t(mi))d(\hat{\zeta}t(m_i))d(ζ^t(mi)) 以及半圆上的对应点 xc=xs+d(ζ^t(mi))x_c = x_s + d(\hat{\zeta}t(m_i))xc=xs+d(ζ^t(mi)),使得 ϕ(xc)=−1\phi(x_c) = -1ϕ(xc)=−1。然后,在非对抗点 xcx_cxc 和对抗点 xbtx{b_t}xbt 之间使用 BSSP 进行边界搜索,以沿半圆形路径找到 xbt+1x{b{t+1}}xbt+1。在第 ttt 次迭代的 BSSP 开始时,设 ζ^adv\hat{\zeta}{adv}ζ^adv 和 ζ^c\hat{\zeta}cζ^c 分别是 xbtx{b_t}xbt 和 xcx_cxc 从 xsx_sxs 出发的方向,ζ^r=(ζ^adv+ζ^c)/∥ζ^adv+ζ^c∥2\hat{\zeta}r = (\hat{\zeta}{adv} + \hat{\zeta}c) / \| \hat{\zeta}{adv} + \hat{\zeta}_c \|2ζ^r=(ζ^adv+ζ^c)/∥ζ^adv+ζ^c∥2 是 ζ^adv\hat{\zeta}{adv}ζ^adv 和 ζ^c\hat{\zeta}cζ^c 的合方向,如图 1 所示。BSSP 将搜索方向的范围从 [ζ^adv,ζ^c][\hat{\zeta}{adv}, \hat{\zeta}c][ζ^adv,ζ^c] 缩小到 [ζ^r,ζ^c][\hat{\zeta}r, \hat{\zeta}c][ζ^r,ζ^c](如果 ϕ(xr)=1\phi(x_r) = 1ϕ(xr)=1),因为 xbt+1x{b{t+1}}xbt+1 位于 ζ^r\hat{\zeta}rζ^r 和 ζ^c\hat{\zeta}cζ^c 方向之间;如果 ϕ(xr)=−1\phi(x_r) = -1ϕ(xr)=−1,则范围缩小到 [ζ^adv,ζ^r][\hat{\zeta}{adv}, \hat{\zeta}r][ζ^adv,ζ^r],其中 xr=xs+d(ζ^r)x_r = x_s + d(\hat{\zeta}r)xr=xs+d(ζ^r)。此搜索方向范围缩小过程持续进行,直到以一定精度获得边界点 xbt+1x{b{t+1}}xbt+1。BSSP 的一个重要特性是,它保证 xbt+1x{b{t+1}}xbt+1 具有更小的扰动,因为对于半圆形路径上的任何查询 xqx_qxq,都有 ∥xq−xs∥2≤∥xbt−xs∥2\| x_q - x_s \|2 \le \| x{b_t} - x_s \|_2∥xq−xs∥2≤∥xbt−xs∥2。
为了展示 BSSP 算法的有效性,我们考虑两种边界场景:线性和低曲率边界。设 ζ^bt\hat{\zeta}{b_t}ζ^bt 为使用 BSSP 方法得到的 xbt+1x{b_{t+1}}xbt+1 的方向。因此,xbt+1x_{b_{t+1}}xbt+1 可以计算为 xbt+1=xs+d(ζ^bt)x_{b_{t+1}} = x_s + d(\hat{\zeta}{b_t})xbt+1=xs+d(ζ^bt)。首先,在线性边界的情况下,方向 ζ^bt\hat{\zeta}{b_t}ζ^bt 与边界成直角,因为半圆上的任何圆周角都是直角,如图 2a 所示。如果 ηt\eta_tηt 表示边界上的真实法向量,则 ηt\eta_tηt 的方向与 ζ^bt\hat{\zeta}_{b_t}ζ^bt 一致。因此,像 GeoDA [26] 和 qFool(非目标)[19] 那样,将 xsx_sxs 朝 ηt\eta_tηt 方向推动以使用 BSNV 方法获得最优扰动就足够了。然而,ηt\eta_tηt 是一个未知参数,可以通过法向量估计过程来近似。估计的法向量方向 η^t\hat{\eta}_tη^t 很可能偏离 ηt\eta_tηt。从图 2a 可以看出,如果 ηt\eta_tηt 和 η^t\hat{\eta}tη^t 之间存在偏差,将 xsx_sxs 朝 η^t\hat{\eta}tη^t 方向推动不会产生最优的 xbt+1x{b{t+1}}xbt+1。相比之下,在由 (v^t,η^t)(\hat{v}t, \hat{\eta}t)(v^t,η^t) 张成的平面上沿半圆形路径进行查询,可以在该平面上找到最优的 xbt+1x{b{t+1}}xbt+1。其次,如果我们考虑低曲率决策边界,如图 2b 所示,即使 η^t\hat{\eta}_tη^t 与 ηt\eta_tηt 相同,BSSP 找到的边界点也比使用朝 η^t\hat{\eta}_tη^t 方向的二分搜索具有更小的扰动。
图 2: (a) 线性边界和 (b) 低曲率边界。
考虑到上述场景,BSSP 找到的边界点比 BSNV 更好,这使得所提出的 CGBA 更加有效。支持 BSSP 比 BSNV 更有效的实验和理论证据见附录 D。非目标攻击的 CGBA 伪代码如算法 1 所示,可以很容易地转换为目标攻击。BSSP 算法的伪代码见附录 A。
图 3: 高曲率边界。 ### 4.2. CGBA-H
使用 CGBA 进行对抗攻击对于低曲率决策边界是一种有效的方法。然而,如果边界曲率过高,这种方法就会变得不那么有效。从图 3a 可以看出,使用 BSSP 获得边界点 xbt+1x_{b_{t+1}}xbt+1 可能会得到一个远离最优解的边界点。为了避免这种情况,我们提出了一种更有效的方法,对于高曲率边界,在每次迭代中获得更好的边界点。如果 θt=cos−1(η^t⋅υ^t)\theta_t = \cos^{-1}(\hat{\eta}_t \cdot \hat{\upsilon}_t)θt=cos−1(η^t⋅υ^t) 是 η^t\hat{\eta}_tη^t 和 υ^t\hat{\upsilon}_tυ^t 之间的角度,则估计查询方向的乘法因子可以计算为:
mi=sinθtcot{θt2i}−cosθt;∀i∈Z+,(8) m_i = \sin \theta_t \cot \left\{ \frac{\theta_t}{2^{i}} \right\} - \cos \theta_t; \quad \forall i \in \mathbb{Z}^{+}, \quad (8) mi=sinθtcot{2iθt}−cosθt;∀i∈Z+,(8)
其中 iii 的值保证 cos−1(υ^t⋅ζ^t(mi))=θt/2i\cos^{-1}(\hat{\upsilon}_t \cdot \hat{\zeta}_t(m_i)) = \theta_t / 2^{i}cos−1(υ^t⋅ζ^t(mi))=θt/2i,∀i∈Z+\forall i \in \mathbb{Z}^{+}∀i∈Z+。因此,随着 iii 的增加,υ^t\hat{\upsilon}_tυ^t 与估计的 ζ^t(mi)\hat{\zeta}t(m_i)ζ^t(mi) 之间的角度差可以减小。因此,在每次迭代中,所提出的 CGBA-H 找到一个乘法因子 mim_imi 以及半圆形轨迹上对应的 xq=xs+dζ^t(mi)x_q = x_s + d \hat{\zeta}t(m_i)xq=xs+dζ^t(mi),使得 ϕ(xq)=1\phi(x_q) = 1ϕ(xq)=1,如图 3b 所示。然后,通过在 xsx_sxs 和 xqx_qxq 之间进行二分搜索,可以获得比 CGBA 更好的边界点 xbt+1x{b{t+1}}xbt+1。目标攻击的 CGBA-H 伪代码如算法 2 所示。
4.3. 初始化
初始边界点 xb1x_{b_1}xb1 可能对对抗攻击的性能产生重大影响。在现有的基于法向量的目标攻击中,通常从源图像 xsx_sxs 向随机选择的目标类别图像方向进行二分搜索,以获得初始边界点 xb1x_{b_1}xb1。与其在从 xsx_sxs 到随机选择的目标样本的方向上找到 xb1x_{b_1}xb1,不如使用 KKK 个目标类别的样本来获得 KKK 个随机方向 {Θk}k=1K\{\Theta_k\}{k=1}^{K}{Θk}k=1K 指向对抗区域,从而找到能够提供扰动更小的边界点的方向。实验结果表明,仅使用少量目标类别样本来获取 xb1x{b_1}xb1 就可以显著提高基于决策的对抗攻击的性能。获取第一个边界点的初始化方法的伪代码见附录 A。
5. 实验
在本节中,我们进行了一系列全面的实验,并将结果与最先进的算法进行比较,以证明我们提出的方法在非目标和目标攻击中的有效性。此外,我们还展示了初始化如何影响 CGBA 和 CGBA-H 的性能。
5.1. 实验设置
数据集和目标模型。 我们使用 ImageNet [9] 和 CIFAR-10 [16] 数据集评估 CGBA 和 CGBA-H 的性能。在 ImageNet 数据集上,使用预训练的 ResNet50 [13]、VGG16 [27]、ResNet101 [13] 和 ViT(视觉Transformer)[11] 评估所提出攻击的性能。
基线和超参数设置。 我们将 CGBA 和 CGBA-H 的性能与现有的最先进的非目标和目标攻击进行比较。我们选择 HSJA [5]、GeoDA [26]、广义 TA [20]、TriA [28]、SurFree [22] 和 AHA [18] 作为基线进行比较。在基线中,HSJA 和 TA 同时适用于非目标和目标攻击。然而,GeoDA、TriA 和 SurFree 仅适用于非目标攻击 [20],而 AHA 适用于目标攻击。我们考虑 GeoDA、SurFree 和 AHA 在降维子空间中的设置,因为这些算法是在此设置下给出的。对于维度为 3×224×2243 \times 224 \times 2243×224×224 的图像,降维因子 fff 给出的降维后维度为 3×224f×224f3 \times \frac{224}{f} \times \frac{224}{f}3×f224×f224。GeoDA 和 SurFree 使用降维的频率子空间,分别通过因子 f=5.17f = 5.17f=5.17 和 f=2f = 2f=2 降低维度以获得 DCT 变换系数,作为其默认设置。相比之下,AHA 在空间子空间中以因子 f=4f = 4f=4 降低维度作为其最佳设置。对于我们提出的攻击,我们在频率子空间中以因子 f=4f = 4f=4 降低维度。我们还设置估计初始法向量的查询次数为 N0=30N_0 = 30N0=30,从高斯分布生成随机样本的标准差为 σ=0.0002\sigma = 0.0002σ=0.0002。
我们使用三个指标------扰动中位数 ℓ2\ell_2ℓ2 范数、攻击成功率 (ASR) 和曲线下面积 (AUC)------来评估 CGBA 和 CGBA-H 与 SOTA 黑盒攻击的性能。对于给定的查询预算,攻击得到的扰动 ℓ2\ell_2ℓ2 范数的中位数决定了攻击的有效性。在一组测试图像上具有更强降低扰动 ℓ2\ell_2ℓ2 范数能力的攻击被认为是更有效的攻击。此外,另一个流行指标 ASR 用于确定在给定查询预算和扰动阈值下对抗攻击的成功率。如果特定查询预算下获得的扰动低于扰动阈值,则认为攻击成功。此外,AUC(中位数 ℓ2\ell_2ℓ2 扰动范数与查询次数的曲线下面积)展示了攻击随查询次数收敛到最小扰动的速度。攻击的 AUC 值越低,攻击收敛到最小扰动的速度越快。
5.2. 实验结果
表 1 展示了在 ImageNet 数据集上针对 ResNet50 和 VGG16 模型,不同基线方法和我们提出的算法在非目标和目标攻击下,不同查询预算获得的中位数 ℓ2\ell_2ℓ2 扰动范数。更多信息,针对 ResNet101 和 ViT 模型的中位数 ℓ2\ell_2ℓ2 扰动范数,以及所有分类器的相应曲线,见附录 B。此外,附录 C 包含了在 CIFAR10 上的实验结果。
在非目标攻击的情况下,我们观察到 CGBA 和 CGBA-H 优于所有基线。在大多数情况下,当查询预算充足时,CGBA 取得了最佳性能。当查询预算有限时,CGBA-H 提供了更好的性能;直观地说,有限预算下获得的边界点质量较低,从源图像的角度看边界显得更加弯曲。对于目标攻击,CGBA-H 全面实现了最佳性能,并且随着查询预算的增加,与基线的差距也在扩大。有趣的是,当查询预算足够大时,即使是 CGBA 也优于目标攻击的基线;直观地说,在这种情况下,由于高质量的边界点,从源图像的角度看边界显得平坦得多。上述观察符合我们的见解,并验证了我们提出方法的有效性。
表 1: 在 ImageNet 数据集上针对 ResNet50 和 VGG16,不同查询预算下的中位数 \\ell_2 扰动范数。
表2:在ImageNet数据集上,当查询预算为20000时,与ResNet50、VGG16、ResNet101和ViT的AUC比较。
图4:在ImageNet上针对ResNet50的攻击成功率(ASR)与查询次数的关系(a-b),以及攻击成功率与扰动阈值的关系(c-d)。
图5:不同查询预算下的对抗样本示例。
图6:针对一个经过对抗性训练的模型的测试结果。
图 4 展示了针对 ResNet50 的所提方法与基线的 ASR 比较,附录 B 包含 ImageNet 上其他分类器的相应曲线。左侧两个子图显示了查询次数对 ASR 的影响。为了绘制这些图,我们针对非目标攻击设置扰动阈值为 2.5,针对目标攻击设置扰动阈值为 12。右侧两个子图则显示了在查询预算为 20,000 时,ASR 随不同阈值的变化。这些图进一步证明了 CGBA 和 CGBA-H 分别在非目标攻击和目标攻击上的优越性。从表 2 的 AUC 比较中也可以得出类似的观察结果。此外,我们使用所提出的方法获得了扰动图像(图略)。
图 7: 非目标攻击(上一行)和目标攻击(下一行)的边界轨迹。
表 3: 降维对性能的影响。
图 7 展示了在二维平面中从源点 xsx_sxs 到对抗区域的边界轨迹。每个子图中的蓝色点、中心虚线点和绿色虚线点分别表示源点 xsx_sxs 和初始边界点 xb1x_{b_1}xb1。对于特定图像,从蓝点到绿点的方向记为 v^1\hat{v}_1v^1,我们将其视为参考方向,角度为 0 度。在获得 η^1\hat{\eta}_1η^1 和 v^1\hat{v}_1v^1 后,我们通过在 (v^1,η^1)(\hat{v}_1, \hat{\eta}_1)(v^1,η^1) 张成的平面内逐渐将搜索方向朝向 η^1\hat{\eta}_1η^1 增加,来搜索边界点。图 7 用红色曲线显示了二维平面中的边界,阴影区域表示对抗区域。我们注意到,非目标攻击具有低曲率边界,而目标攻击具有高曲率边界和狭窄的对抗区域。由于边界轨迹的这种差异,CGBA 在非目标攻击中优于 CGBA-H,而 CGBA-H 在目标攻击中优于 CGBA。
降维的影响。 在表 3 中,我们比较了 CGBA 与 SOTA SurFree 在非目标攻击下的性能,以及 CGBA-H 与 SOTA AHA 在目标攻击下的性能,针对不同的降维因子 fff。我们随机选取 100 张图像进行两种攻击的比较。对于非目标攻击,SurFree 在 f=2f = 2f=2 时提供最佳性能。然而,随着 fff 的进一步增加,它在降维频率子空间中并未显示出任何性能提升。相比之下,CGBA 在较小的查询预算下在 f=8f = 8f=8 时提供最佳性能,在较大的查询预算下在 f=4f = 4f=4 时提供最佳性能。在所有情况下,CGBA 在降维频率子空间中显著优于 SurFree。对于目标攻击,观察到 AHA 和 CGBA-H 在有限查询预算下性能相当,但在足够查询预算下 CGBA-H 的性能显著提高。
初始化的影响。 在上述实验中,为了公平比较,所有方法都使用了相同的随机初始化。本部分讨论如 4.3 节所述初始化对目标攻击性能的影响。图 8a 描绘了通过使用 KKK 个目标类别的样本,在不同数量的随机方向下找到 xb1x_{b_1}xb1 所需的扰动和相应查询次数。从该图可以看出,随着 KKK 的增加,扰动显著减少。虽然随机初始化(K=1K = 1K=1)通过大约 20 次查询获得的扰动约为 85,但使用 K=50K = 50K=50 以大约 110 的额外查询成本获得了超过 30 的扰动减少。图 8b 比较了 CGBA 和 CGBA-H 在两种不同初始化(K=1K = 1K=1 和 K=50K = 50K=50)下的性能。由于 K=50K = 50K=50 获得了更好的初始边界点(适当计算了额外查询成本),CGBA 和 CGBA-H 都比 K=1K = 1K=1 初始化更快地收敛到最优扰动。值得注意的是,所提出的初始化方法也可以用于提升基线的性能。
图 8: (a) 随机方向数量 K 对获取 x_{b_1} 的影响;(b) 初始化 K = 1 与 K = 50 的性能比较。
6. 结论
在这项工作中,我们提出了两种新颖的基于决策的黑盒攻击:CGBA 和 CGBA-H,它们在受限二维平面上使用半圆形轨迹,确保无论边界曲率如何,都能找到扰动减小的新边界点。CGBA 通过有效利用决策边界的低曲率,优于最先进的非目标攻击,而 CGBA-H 则适应了决策边界的高曲率,从而在目标攻击中取得了更好的性能。此外,我们引入了一种初始化算法,可用于找到更好的初始边界点,从而进一步提升基于决策的目标攻击的性能。我们进行了大量实验来验证所提出攻击的有效性。
补充材料
在本补充材料中,第 A 节阐述了沿半圆形路径的边界搜索 (BSSP) 和初始化算法。第 B 节展示了在 ImageNet 数据集上的实验结果,第 C 节展示了在 CIFAR10 数据集上针对两个流行分类器的实验结果。此外,在第 D 节中,我们将提出的 BSSP 与沿估计法向量方向的二分搜索 (BSNV) 进行了比较,并通过理论分析和实验评估验证了其有效性。最后,在第 E 节中,我们展示并比较了针对不同分类器的对抗样本及其对应的扰动。
A. 算法
提出的 CGBA 基于在受限二维平面上沿半圆形路径查询边界点。使用 BSSP 查询边界点的方法如算法 3 所示。该方法与二分搜索非常相似。然而,我们是在二维平面上的半圆形路径上进行边界搜索,而不是沿着直线的一维路径。从一个对抗点和一个非对抗点作为两端开始,我们逐步缩小半圆形轨迹上对抗点与非对抗点之间的距离范围,以在一定的误差限度内获得所需的边界点。算法的第 3 行和第 4 行分别给出了从源点 xsx_sxs 到半圆形轨迹上的非对抗点 xcx_cxc 和对抗点 xbtx_{b_t}xbt 的单位方向 ζ^c\hat{\zeta}cζ^c 和 ζ^adv\hat{\zeta}{adv}ζ^adv。然后,我们在由上述方向得到的合方向 ζ^r\hat{\zeta}_rζ^r(如第 6 行所示)上获得半圆形轨迹上的扰动点 xr=xs+d(ζ^r)x_r = x_s + d(\hat{\zeta}r)xr=xs+d(ζ^r),其中 d(ζ^r)d(\hat{\zeta}r)d(ζ^r) 是遵循半圆形轨迹添加的扰动,如公式 6 所示。从第 8 行到第 11 行,对 xrx_rxr 进行查询以判断 xrx_rxr 是否为对抗点。如果 xrx_rxr 是对抗点,则用 ζ^adv\hat{\zeta}{adv}ζ^adv 替换 ζ^c\hat{\zeta}cζ^c 以缩小搜索范围,反之亦然。缩小范围的过程持续进行,直到在一定精度内获得所需的 xbt+1x{b{t+1}}xbt+1。
算法 4 展示了从一组指向对抗区域的随机方向中找到更好初始边界点的过程。如果 xkx_kxk 表示对抗区域中的任意点,则从源点 xsx_sxs 到 xkx_kxk 的方向可以估计为 Θk=(xk−xs)/∥xk−xs∥2\Theta_k = (x_k - x_s) / \| x_k - x_s \|2Θk=(xk−xs)/∥xk−xs∥2。对于目标攻击,我们随机选择 KKK 个目标类别的样本 {xk}k=1K\{x_k\}{k=1}^{K}{xk}k=1K,并获得 KKK 个指向对抗区域的方向 {Θk}k=1K\{\Theta_k\}{k=1}^{K}{Θk}k=1K。通过使用这组随机方向,我们可以以额外查询为代价获得更好的初始边界点 xb1x{b_1}xb1。我们对算法 4 的解释如下。
算法 4 的第 3 行找到使 xsx_sxs 变为对抗所需的最小 ℓ2\ell_2ℓ2 扰动范数。如果 xpx_pxp 是对抗的,则仅在第 9 行进行二分搜索以获得新的边界点,这进一步改善了获得的扰动 dbestd_{best}dbest。此过程持续进行,以在给定的 KKK 个方向中获得最佳的边界点。图 9 比较了针对 VGG16、ResNet101 和 ViT 分类器的随机初始化(K=1K = 1K=1)和使用算法 4 的初始化(K=50K = 50K=50)。观察到,所提出的初始化算法针对上述分类器找到了更好的边界点,从而显著提升了目标攻击的性能。
图 9: 随机初始化与所提初始化的性能比较。
B. ImageNet 上的结果
图 10 描绘了在 ImageNet 上针对 ResNet50、VGG16、ResNet101 和 ViT 的非目标和目标攻击中,中位数 ℓ2\ell_2ℓ2 扰动范数随查询次数的变化。此外,表 4 给出了针对 ResNet101 和 ViT 在不同查询预算下获得的扰动。基于这些发现,可以明显看出,对于非目标攻击,CGBA 和 CGBA-H 都显著优于基线方法。相比之下,对于目标攻击,虽然 CGBA-H 优于所有基线,但由于边界的高曲率,当查询预算不足时,使用 CGBA 获得的扰动预期会更高。然而,随着迭代次数和相应查询次数的增加,边界点越来越接近源图像,导致从源图像视角看的决策边界变得更平坦。因此,在足够的查询预算下,所提出的 CGBA 也优于基线。
图 11 展示了所提方法与基线在不同查询预算和阈值下的攻击成功率 (ASR) 比较。该图的前两列描绘了在非目标攻击阈值 2.5 和目标攻击阈值 12 下,不同查询预算获得的 ASR,而后两列显示了在查询预算为 20,000 时,不同阈值下获得的 ASR。从这些实验结果中,我们观察到 CGBA 和 CGBA-H 在这三个流行分类器上的性能显著优于基线,正如我们在 ResNet50 上观察到的那样。
表4:在ImageNet数据集上,针对ResNet101和ViT模型,在不同查询预算下的扰动中值l₂范数。
图 10: 在 ImageNet 上针对 ResNet50、VGG16、ResNet101 和 ViT,\\ell_2 扰动范数随查询次数的变化。
图 11: 在 ImageNet 上针对 VGG16、ResNet101 和 ViT,使用不同方法的 ASR 实验结果。
C. CIFAR10 上的结果
我们提出的攻击不限于像 ImageNet 这样具有大量分类标签的高维数据集。本节进一步检验了它们在低维数据集 CIFAR10(包含十个分类标签)上生成对抗样本的有效性。为了进行实验,我们没有使用降维子空间,而是考虑全维图像空间(全空间),使用基线和提出的方法针对 PreActResNet18 [14] 和 WRN40 [30] 进行攻击。我们随机选择了 1000 张图像用于非目标攻击,1000 对图像用于目标攻击,这些图像都被目标分类器正确分类。相应的结果如表 5 所示。从该表可以看出,对于针对 PreActResNet18 的非目标攻击,CGBA 优于所有基线,符合预期。另一方面,对于针对 WRN40 的非目标攻击,虽然 SurFree 在非常低的查询预算下表现更好,但 CGBA 在足够的查询预算下优于 SurFree。然而,对于目标攻击,虽然 CGBA-H 在较小查询预算下表现更好,但随着查询预算的增加,CGBA 显示出比 CGBA-H 略好的性能。这一观察结果可以解释如下。首先,由于 CIFAR10 数据集的类别数量少得多,CIFAR10 上目标攻击的对抗区域在二维搜索平面中比具有 1000 个类别的 ImageNet 数据集的对抗区域宽得多。其次,随着查询次数的增加,获得的边界点越来越接近源图像。因此,从源点的视角看,边界的曲率变得更平坦。因此,在足够大的查询预算(这需要大量的迭代)下,CGBA 在像 CIFAR10 这样的低维数据集上表现更好。这与我们先前的观察一致,即 CGBA 在较低曲率边界上表现更好,而 CGBA-H 可以进一步适应高曲率。
此外,针对两个分类器获得的 ASR 如图 12 所示。图 12(a-d) 展示了在非目标攻击扰动阈值为 0.3 和目标攻击扰动阈值为 2.5 时,ASR 随查询次数的变化。另一方面,图 12(e-h) 展示了在不同阈值下获得的 ASR。为了绘制图 12(e-h),非目标攻击考虑查询预算为 5000,目标攻击考虑查询预算为 10000。由于非目标攻击比目标攻击收敛更快,我们选择了两个不同的查询预算。从这些图中可以看出,使用我们提出的方法获得了预期的改进性能。此外,AUC 的实验结果如表 6 所示。获得的结果证明了所提方法在不同数据集上性能的一致性。
表 5: 在 CIFAR10 数据集上,我们提出的攻击和基线在不同查询预算下的中位数 \\ell_2 扰动范数。
图 12: 在 CIFAR10 上针对 PreActResNet18 和 WRN40,使用不同方法的 ASR 实验结果。 表 6: 在 CIFAR10 上,针对 PreActResNet18 和 WRN40,查询预算为 10000 时的 AUC 比较。
D. BSSP 与 BSNV 的比较
在本节中,我们比较了沿估计法向量方向的二分搜索 (BSNV) 和沿半圆形路径的边界搜索 (BSSP) 以找到新的边界点。首先,我们展示了这两种方法在寻找新边界点方面的实验评估,其中考虑了用于估计边界点法向量的查询。然后,我们提供了理论分析,以进一步证明 BSSP 相较于 BSNV 的改进效率。
D.1. 法向量估计的影响
我们在图 13 中展示了法向量估计对 BSSP 和 BSNV 在寻找新边界点性能上的影响。为了绘制该图,我们考虑了针对 ImageNet [9] 中 1000 张测试图像的 ResNet50 [13] 的非目标攻击。首先,我们在相同的初始边界点 xb1x_{b_1}xb1 处,考虑不同数量的查询来估计法向量。然后,我们使用 BSNV 和提出的 BSSP 来寻找新的边界点,并比较所得扰动的差异。可以清楚地看到,虽然随着法向量估计所用查询次数的增加,两种方法的性能都如预期般提高,但 BSSP 始终以较大幅度优于 BSNV。
图 13: 法向量估计对 BSSP 和 BSNV 寻找新边界点性能的影响。
图14: 顶点在 (0,h)(0,h)(0,h) 的抛物线边界,其中 xbtx_{b_t}xbt 表示第 ttt 次迭代的边界点,边界上的绿色和蓝色点分别表示使用 BSSP 和 BSNV 获得的边界点 xbt+1x_{b_{t+1}}xbt+1。
图15: 当 v^t\hat{v}tv^t 在 xbtx{b_t}xbt 处与边界相切时,使用 BSNV 获取新边界点 xbt+1x_{b_{t+1}}xbt+1:δt<45∘\delta_t < 45^\circδt<45∘(左),δt=45∘\delta_t = 45^\circδt=45∘(中),δt>45∘\delta_t > 45^\circδt>45∘(右)。如果 δt>45∘\delta_t > 45^\circδt>45∘,BSNV 无法找到 xbt+1x_{b_{t+1}}xbt+1。
图16: 当 v^t\hat{v}tv^t 在 xbtx{b_t}xbt 处与边界相切时,使用 BSSP 获取新边界点 xbt+1x_{b_{t+1}}xbt+1:δt<45∘\delta_t < 45^\circδt<45∘(左),δt=45∘\delta_t = 45^\circδt=45∘(中),δt>45∘\delta_t > 45^\circδt>45∘(右)。BSSP 无论边界曲率如何都能找到 xbt+1x_{b_{t+1}}xbt+1。
D.2. 理论分析
我们从理论上验证了 BSSP 算法相较于 BSNV 在寻找新边界点方面的优势。由于 BSSP 是在二维平面中进行的,我们考虑二维平面中的一个假设抛物线边界来进行可处理的分析。设源图像 xsx_sxs 位于由 (v^t,η^t)(\hat{v}_t, \hat{\eta}_t)(v^t,η^t) 张成的 xyxyxy 坐标平面的原点,如图 14 所示,其中 v^t\hat{v}tv^t 是从源点 xsx_sxs 到边界点 xbtx{b_t}xbt 的方向,η^t\hat{\eta}tη^t 是在 xbtx{b_t}xbt 处估计的法向量。假设二维平面中分隔 xsx_sxs 的良性区域和对抗区域的边界表示为抛物线函数:
y=x24p+h,(9) y = \frac{x^2}{4p} + h, \quad (9) y=4px2+h,(9)
其顶点坐标为 (0,h)(0, h)(0,h),正焦弦长为 4p4p4p。因此,在给定的迭代 ttt 下,使 xsx_sxs 变为对抗所需的最优扰动为 hhh。
设边界点 xbtx_{b_t}xbt 相对于 xxx 轴的方向为 δt\delta_tδt,该方向上的扰动大小为 rt=∥xbt−xs∥2r_t = \| x_{b_t} - x_s \|2rt=∥xbt−xs∥2(第 ttt 次迭代)。因此,扰动在 xxx 轴和 yyy 轴方向上的投影分别为 axt=rtcosδta{x_t} = r_t \cos \delta_taxt=rtcosδt 和 ayt=rtsinδta_{y_t} = r_t \sin \delta_tayt=rtsinδt。因此,将 axta_{x_t}axt 和 ayta_{y_t}ayt 的值代入公式 9,rtr_trt 与 δt\delta_tδt 的关系为:
rt=2psinδtcos2δt[1−1−hpcot2δt].(10) r_t = \frac{2p \sin \delta_t}{\cos^2 \delta_t} \left[1 - \sqrt{1 - \frac{h}{p} \cot^2 \delta_t} \right]. \quad (10) rt=cos2δt2psinδt[1−1−phcot2δt ].(10)
从公式 10 可以推断,当且仅当 p≥hcot2δtp \ge h \cot^2 \delta_tp≥hcot2δt 时,才能在方向 δt\delta_tδt 上找到边界点。现在利用公式 10,我们有:
axt=rtcosδt=2ptanδt[1−1−hpcot2δt](11) a_{x_t} = r_t \cos \delta_t = 2p \tan \delta_t \left[1 - \sqrt{1 - \frac{h}{p} \cot^2 \delta_t} \right] \quad (11) axt=rtcosδt=2ptanδt[1−1−phcot2δt ](11)
ayt=rtsinδt=2ptan2δt[1−1−hpcot2δt].(12) a_{y_t} = r_t \sin \delta_t = 2p \tan^2 \delta_t \left[1 - \sqrt{1 - \frac{h}{p} \cot^2 \delta_t} \right]. \quad (12) ayt=rtsinδt=2ptan2δt[1−1−phcot2δt ].(12)
在本分析中,我们考虑 BSNV 和 BSSP 的两种极端场景:线性边界和弯曲边界,使得朝向 v^t\hat{v}_tv^t 的直线与边界相切。
D.2.1 使用 BSNV 寻找边界点
抛物线上任意点的切线由下式给出:
dydx=x2p.(13) \frac{dy}{dx} = \frac{x}{2p}. \quad (13) dxdy=2px.(13)
因此,在边界点 (axt,ayt)(a_{x_t}, a_{y_t})(axt,ayt) 上,法线方向 η^t\hat{\eta}_tη^t 的直线斜率为:
m=−2pax.(14) m = -\frac{2p}{a_x}. \quad (14) m=−ax2p.(14)
因此,朝向 η^t\hat{\eta}tη^t 的下一个边界点 xbt+1x{b_{t+1}}xbt+1 位于直线 y=mxy = mxy=mx 上。设 (axt+1,ayt+1)(a_{x_{t+1}}, a_{y_{t+1}})(axt+1,ayt+1) 为 xyxyxy 坐标平面上边界点 xbt+1x_{b_{t+1}}xbt+1 的坐标。那么,(axt+1,ayt+1)(a_{x_{t+1}}, a_{y_{t+1}})(axt+1,ayt+1) 可以通过求 y=mxy = mxy=mx 与 y=x24p+hy = \frac{x^2}{4p} + hy=4px2+h 的交点得到。因此,我们有:
(axt+1,ayt+1)=(2h/m1+1−hpm2,2h1+1−hpm2),(15) (a_{x_{t+1}}, a_{y_{t+1}}) = \left( \frac{2h / m}{1 + \sqrt{1 - \frac{h}{p m^2}}}, \frac{2h}{1 + \sqrt{1 - \frac{h}{p m^2}}} \right), \quad (15) (axt+1,ayt+1)= 1+1−pm2h 2h/m,1+1−pm2h 2h ,(15)
其中 m=−2paxm = -\frac{2p}{a_x}m=−ax2p。
情况 1: 线性边界 (p=∞)(p = \infty)(p=∞)。 在这种情况下,将图像 xsx_sxs 朝法线方向 η^t\hat{\eta}_tη^t 推动,公式 15 将导致:
(axt+1,ayt+1)=(0,h).(16) (a_{x_{t+1}}, a_{y_{t+1}}) = (0, h). \quad (16) (axt+1,ayt+1)=(0,h).(16)
因此,我们可以得出结论,如果边界是线性的并且法向量估计准确,BSNV 方法能找到具有最优扰动 rt+1=hr_{t+1} = hrt+1=h 的后续边界点。这解释了当决策边界可以被很好地近似为平面时,qFool 和 GeoDA 的成功。
情况 2: 弯曲边界 (p=hcot2δt)(p = h \cot^2 \delta_t)(p=hcot2δt)。 在此条件下,从源点 xsx_sxs 出发、与 xxx 轴夹角为 δt\delta_tδt 的直线在 (axt,ayt)(a_{x_t}, a_{y_t})(axt,ayt) 处与边界相切。由公式 11 和 12,我们有 (axt,ayt)=(2ptanδt,2ptan2δt)(a_{x_t}, a_{y_t}) = (2p \tan \delta_t, 2p \tan^2 \delta_t)(axt,ayt)=(2ptanδt,2ptan2δt)。因此,从公式 14,我们得到边界点上法线方向 η^t\hat{\eta}_tη^t 的直线斜率为:
m=−2p2ptanδt=−cotδt.(17) m = -\frac{2p}{2p \tan \delta_t} = -\cot \delta_t. \quad (17) m=−2ptanδt2p=−cotδt.(17)
现在,如果我们使用 BSNV 方法寻找 xbt+1x_{b_{t+1}}xbt+1,从公式 15 我们可以找到一个有效的边界点 xbt+1x_{b_{t+1}}xbt+1,当且仅当 pm2≥hp m^2 \ge hpm2≥h。因此,使用条件 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt 和公式 17,我们得到:
δt≤45∘.(18) \delta_t \le 45^\circ. \quad (18) δt≤45∘.(18)
因此,如果朝向 δt\delta_tδt(相对于 xxx 轴)的直线在 xbtx_{b_t}xbt 处与边界相切,BSNV 方法仅在 δt≤45∘\delta_t \le 45^\circδt≤45∘ 时才能找到后续边界点 xbt+1x_{b_{t+1}}xbt+1。考虑极端条件 δt=45∘\delta_t = 45^\circδt=45∘,此时 m=−1m = -1m=−1 且 p=hp = hp=h。因此,从公式 15,后续边界点的坐标可以写为:
(axt+1,ayt+1)=(−2h,2h).(19) (a_{x_{t+1}}, a_{y_{t+1}}) = (-2h, 2h). \quad (19) (axt+1,ayt+1)=(−2h,2h).(19)
获得的边界点 xbt+1x_{b_{t+1}}xbt+1 的扰动大小为 rt+1=22hr_{t+1} = 2\sqrt{2} hrt+1=22 h,与 rt=22pr_t = 2\sqrt{2} prt=22 p 相同,并且迭代查询过程不会收敛。因此,我们可以得出结论,如果 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt,在此场景下使用 BSNV 方法寻找后续边界点当且仅当 δt<45∘\delta_t < 45^\circδt<45∘ 时才会收敛,如图 15 所示。
D.2.2 使用 BSSP 寻找边界点
在本小节中,我们从理论上分析了使用 BSSP 方法在 (v^t,η^t)(\hat{v}t, \hat{\eta}t)(v^t,η^t) 张成的二维平面中寻找边界点,以使 xsx_sxs 变为对抗所需的扰动大小。边界点 (axt+1,ayt+1)(a{x{t+1}}, a_{y_{t+1}})(axt+1,ayt+1) 可以通过求解公式 9 给出的抛物线边界与以下方程指定的圆的交点来简单获得:
(x−rt2cosδt)2+(y−rt2sinδt)2=rt24. \left(x - \frac{r_t}{2} \cos \delta_t\right)^2 + \left(y - \frac{r_t}{2} \sin \delta_t\right)^2 = \frac{r_t^2}{4}. (x−2rtcosδt)2+(y−2rtsinδt)2=4rt2.
因此,我们有:
axt+12+(axt+124p+h)2−2hcotδt1+1−hpcot2δtaxt+1−2h1+1−hpcot2δt(axt+124p+h)=0.(20) a_{x_{t+1}}^{2} + \left(\frac{a_{x_{t+1}}^{2}}{4p} + h\right)^{2} - \frac{2h \cot \delta_t}{1 + \sqrt{1 - \frac{h}{p} \cot^{2} \delta_t}} a_{x_{t+1}} - \frac{2h}{1 + \sqrt{1 - \frac{h}{p} \cot^{2} \delta_t}} \left(\frac{a_{x_{t+1}}^{2}}{4p} + h\right) = 0. \quad (20) axt+12+(4paxt+12+h)2−1+1−phcot2δt 2hcotδtaxt+1−1+1−phcot2δt 2h(4paxt+12+h)=0.(20)
情况 1: 线性边界 (p=∞)(p = \infty)(p=∞)。 在此条件下,通过求解公式 20 可以计算出 xbt+1x_{b_{t+1}}xbt+1 的坐标为:
(axt+1,ayt+1)=(0,h).(21) (a_{x_{t+1}}, a_{y_{t+1}}) = (0, h). \quad (21) (axt+1,ayt+1)=(0,h).(21)
因此,对于线性边界,BSSP 也找到了具有最小扰动 ∥xbt+1−xs∥2=h\| x_{b_{t+1}} - x_s \|2 = h∥xbt+1−xs∥2=h 的最优边界点 xbt+1x{b_{t+1}}xbt+1,与使用 BSNV 得到的结果相同。
情况 2: 弯曲边界 (p=hcot2δt)(p = h \cot^2 \delta_t)(p=hcot2δt)。 在这种情况下,公式 20 可以写为:
axt+1416h2+axt+12−2hcotδt axt+1+h2=0.(22) \frac{a_{x_{t+1}}^{4}}{16h^{2}} + a_{x_{t+1}}^{2} - 2h \cot \delta_t \, a_{x_{t+1}} + h^{2} = 0. \quad (22) 16h2axt+14+axt+12−2hcotδtaxt+1+h2=0.(22)
上述方程的一个解是当前边界点 xbtx_{b_t}xbt 的坐标。由于上述方程的系数是实数,无论 δt\delta_tδt 的值如何,必定存在另一个实数解。因此,对于给定的边界点 xbtx_{b_t}xbt,所提出的 BSSP 方法确保无论 δt\delta_tδt 的值如何,都能找到后续边界点 xbt+1x_{b_{t+1}}xbt+1。由于 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt 且曲率与正焦弦长 4p4p4p 相关,我们可以反过来说,所提出的 BSSP 保证能找到下一个边界点,无论边界曲率如何,如图 16 所示。相比之下,正如我们所看到的,在 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt 条件下,当 δt>45∘\delta_t > 45^\circδt>45∘ 时,BSNV 无法找到新的边界点。作为一个具体例子,考虑我们上面为 BSNV 考虑的极端条件,其中从 xsx_sxs 到 xbtx_{b_t}xbt 的方向是在 xbtx_{b_t}xbt 处的切线,并与 xxx 轴形成角度 δt=45∘\delta_t = 45^\circδt=45∘。因此,满足这些条件的公式 20 可以写为:
axt+1416h2+axt+12−2haxt+1+h2=0.(23) \frac{a_{x_{t+1}}^{4}}{16h^{2}} + a_{x_{t+1}}^{2} - 2h a_{x_{t+1}} + h^{2} = 0. \quad (23) 16h2axt+14+axt+12−2haxt+1+h2=0.(23)
通过求解公式 23,我们可以得到后续边界点 xbt+1x_{b_{t+1}}xbt+1 的坐标为:
(axt+1,ayt+1)=(−0.4135h,1.0427h).(24) (a_{x_{t+1}}, a_{y_{t+1}}) = (-0.4135h, 1.0427h). \quad (24) (axt+1,ayt+1)=(−0.4135h,1.0427h).(24)
新边界点 xbt+1x_{b_{t+1}}xbt+1 的扰动为:
rt+1=(−0.4135h)2+(1.0427h)2=1.1217h. r_{t+1} = \sqrt{(-0.4135h)^2 + (1.0427h)^2} = 1.1217h. rt+1=(−0.4135h)2+(1.0427h)2 =1.1217h.
因此,在 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt 且 δt=45∘\delta_t = 45^\circδt=45∘ 的条件下,与 BSNV 相比,使用 BSSP 获得的扰动减少量为:
22h−1.1217h22h=60.3%. \frac{2\sqrt{2}h - 1.1217h}{2\sqrt{2}h} = 60.3\%. 22 h22 h−1.1217h=60.3%.
D.2.3 不同曲率的影响
我们进一步研究了边界曲率对这两种搜索算法性能的影响。我们已经看到,对于线性边界 (p=∞)(p = \infty)(p=∞),这两种方法实现了相同的最优性能。然而,当 p=hcot2δtp = h \cot^2 \delta_tp=hcot2δt 且 δt=45∘\delta_t = 45^\circδt=45∘ 时,与 BSNV 相比,BSSP 可以减少约 60%60\%60% 的扰动。图 17 显示了 BSNV 和 BSSP 在不同 ppp 值下的性能比较(ppp 越小对应曲率越高)。我们考虑 h=10h = 10h=10 以及 δt=30∘,45∘,60∘\delta_t = 30^\circ, 45^\circ, 60^\circδt=30∘,45∘,60∘ 和 80∘80^\circ80∘,通过数值求解上述方程得到不同 ppp 值下的解。从该图可以看出,BSSP 始终优于 BSNV,并且在曲率高时有显著改善。此外,如图 17(c,d) 清晰所示,当参数 ppp 低于某个阈值时,BSNV 失败,而 BSSP 在此类高曲率设置下仍然有效。
图 17: 不同参数 ppp 值下的性能比较。
E. 扰动可视化
在本节中,我们针对 ResNet50、VGG16 和 ViT,可视化了在非目标和目标攻击下、不同查询预算获得的对抗图像及其对应的扰动。我们使用来自 ILSVRC2012 验证集 [9] 中被目标分类器正确分类的测试图像。在图 18 中,每个子图的第一行展示了源图像"海胆"以及使用 CGBA 进行非目标攻击在不同查询预算下制作的对抗示例。针对 ResNet50 制作的对抗样本被误分类为"岩蟹",而针对 VGG16 和 ViT 获得的扰动被误分类为"蓑鲉"。此外,每个子图的第二行展示了不同查询预算下放大的(10 倍)扰动。同样,图 20 展示了使用 CGBA-H 制作的"蓑鲉"的对抗示例及其对应扰动,这些示例被不同分类器误分类为"海胆"。从图 18 和图 20 中,我们可以直观地看到扰动如何随着查询次数的增加而减少。此外,图 19 和图 21 显示了不同分类器之间获得的放大扰动的差异。从这些图中可以观察到,制作的扰动因分类器而异。由于制作的扰动从一个分类器到另一个分类器存在这种差异,在基于决策的攻击中,一个分类器上获得的对抗图像不能直接迁移到另一个分类器。
图 18: 使用非目标 CGBA 针对不同分类器,在不同查询预算下获得的对抗图像及其对应的放大扰动。
图 19: 图 18 中,查询预算为 5000 时,不同分类器之间制作的放大扰动的差异。
图 20: 使用目标 CGBA-H 针对不同分类器,在不同查询预算下获得的对抗图像及其对应的放大扰动。
图 21: 图 20 中,查询预算为 10000 时,不同分类器之间制作的放大扰动的差异。