论文阅读 Decision-based Black-box Adversarial Attacks

Efficient Decision-based Black-box Adversarial Attacks on Face Recognition

 

这篇文章主要做了以下几个工作：

 

1.提出了一个在基于决策的黑盒场景下的进化攻击方法，可以对搜索方向的局部几何进行建模，同时降低搜索空间的维度。

 

2.利用基于决策的黑盒攻击方法，对几种最先进的人脸识别模型（SphereFace, CosFace, ArcFace）做了鲁棒性测评，并展示了这些人脸模型的脆弱性。

 

3.通过对真实世界中的人脸识别系统进行攻击，展示了提出的方法的实际适用性。

 

提出的方法：

1. 攻击的设置，主要是将人脸验证问题（face verification）数学化为二分类问题，检测一张图或者是名字等是否是真正的这个人；将人脸识别问题（face recognition）数学化为多分类问题，判断一张图片是否是多个身份里面的某个人。给一张真实的照片x，攻击的目的是生成一个被模型错误分类的与x最近的假照片x' 。对于躲避攻击和模拟攻击，列出了两种不同的攻击准则。

 

2.进化攻击。通过对CMA-ES（协方差矩阵适应进化策略）进行变体，得到(1+1)-CMA-ES，通过在每一次迭代中挑选更好的一个后代进入下一个迭代，通过这个方法解决黑盒优化问题。但是，直接使用此策略对攻击设置中提出的约束条件进行优化是无效的，因为x'维度较高。且基于决策的人脸图像黑盒攻击存在查询限制，原(1+1)-CMA-ES可能不可行。为了加快算法速度，设计了一个适当的分布来采样每个迭代中的随机噪声，这样可以对搜索方向的几何形状建模，也提出了一些方法降低搜索空间的维度。算法如下：

          

z是每次迭代中的随机噪声，服从N分布，对z双线性插值得到z'以后，对z'添加一个偏置，如果L(x'+z')。

 

协方差矩阵自适应问题 ，协方差矩阵的计算复杂度为O(m^2),在黑盒攻击中，m较大，所以计算量更大，为了降低计算量，将协方差矩阵松弛为对角矩阵，然后在每次成功试验后，按照下面的法则进行更新：

            

 

随机坐标选择问题，基于假设，只有少量的像素对寻找对抗性样本有作用，因此只要找到这些关键像素，就能加快算法的运行速度，对角协方差矩阵提供了一种首选坐标，较大的cii表明沿i坐标搜索成功的几率较高，基于此，在每一次迭代中国选择与cii成比例的第i坐标。

 

降维问题，随机抽样的向量z的维度m低于输入图像的维度n，后期使用双线性插值方法上采样到n。

 

超参数调整问题。