Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution

这项工作研究了针对深度神经网络 (DNN) 的黑盒对抗性攻击，其中攻击者只能访问被攻击的 DNN 模型返回的查询反馈，而模型参数或训练数据集等其他信息是未知的。提高攻击性能的一种有前途的方法是利用一些白盒代理模型和目标模型（即被攻击模型）之间的对抗性可迁移性。然而，由于代理模型和目标模型之间的模型架构和训练数据集可能存在差异，被称为“代理偏差”，对抗性可迁移性对提高攻击性能的贡献可能会被削弱。为了解决这个问题，我们创新地提出了一种黑盒攻击方法，通过开发一种对抗性可转移性的新机制，该机制对代理偏差具有鲁棒性。总体思路是将代理模型的条件对抗分布（CAD）的部分参数转移，同时根据对目标模型的查询学习未转移的参数，以保持在任何新的良性样本上调整目标模型的 CAD 的灵活性。

本文采用了条件生成流模型，称为c-Glow，其一般思想是通过可逆网络将简单分布（如高斯分布）可逆地映射为复杂分布，如图1（a），此外，我们开发了一种基于 7，而不是代价高昂的生成对抗性扰动，从而可以高效、准确地逼近代理模型的CAD。

文章贡献：

1. 通过设计一种新的对抗传输机制，我们提出了一种有效的黑箱攻击方法，该机制只传输条件对抗分布的部分参数，对代理模型和目标模型之间的代理偏差具有鲁棒性。
2. 我们是第一个使用c-Glow模型近似CAD的人，并设计了一种基于随机采样扰动的高效训练算法。
3. 大量实验表明，通过同时提高攻击成功率和查询效率，所提出的攻击方法优于几种最先进的（SOTA）黑盒方法

方法：

黑盒攻击的问题表述

扰动范围

攻击问题可以表述为最小化

是一个非负的数，如果为0 ，则对应的扰动是一个成功的扰动 

条件对抗建模

使用c-Glow模型对CAD建模

c-Glow可以表示为反函数

可以进一步分解为M逆函数的组成 

 c-Glow模型可以由具有M层的神经网络表示（M设置为3）。每层由一个条件actnorm模块、一个条件1×1卷积模块和一个条件耦合模块组成。c-Glow的一般结构如图1（a）所示。

用c-Glow近似CAD

给定x的扰动条件似然可以表示为：

 基于能量的模型

为了获取扰动在x周围的分布，定义了一个基于能量的模型

 并且，设置：

 Minimization of KL divergence

给定一个良性样本，θ的学习被表示为以下目标的最小化：

采用基于梯度的方法来优化这个问题 ，定理1，是L关于θ的梯度

 CG-ATTACK

基于进化策略(ES )的攻击方法：

ES的一般思想是引入搜索分布来采样多个扰动η，然后将这些扰动输入目标模型，以评估相应的目标值Ladv（η，x，y），然后根据一些策略（例如，Natural ES[52，53]，CMA-ES[19]）来更新搜索分布的参数。重复此过程，直到发现一个成功的对抗扰动（即Ladv（η，x，y）=0）。
我们没有像TREMBA和N ATTACK中那样采用简单的高斯分布作为搜索分布，而是将搜索分布指定为由c-Glow模型建模的CAD。

一种新颖的CAD传输机制。:

上述基于ES的黑盒攻击方法的一个主要挑战是，c-Glow模型的参数明显多于高斯模型，并且可能需要更多的查询来学习好的参数。因此，我们求助于对抗性迁移，即首先使用第3.2.3节中的学习算法学习基于一些白盒代理模型的c-Glow模型，然后将此学习的c-Glov模型转换为近似目标模型的CAD。然而，如第3.1节所述，由于代理偏差，代理模型和目标模型的CAD应该不同。整个c-Glow模型的转移可能会导致负转移，从而损害攻击性能。因此，我们提出了一种新的传输机制，即只传输c-Glow模型的映射参数φ，而其余的高斯参数μ和σ是根据对目标模型的查询来学习的，如图1（c）所示。

我们认为，这种部分转移机制有两个主要优点。1） 它保持了在当前受攻击样本x上自动调整目标模型CAD的灵活性，以减轻由于模型架构和训练样本的代理偏差而可能产生的负面影响。2） 由于这种转移只与条件概率Pθ（η|x）有关，而与边际概率P（y）无关，因此它应该对训练类标签的替代偏差具有鲁棒性。上述优点使得利用这种部分传输机制的攻击方法在实际场景中更加实用，尤其是在开放集场景中。将基于ES的攻击与基于条件发光模型的部分传输机制相结合的攻击方法称为CG-ATTAC 

降维：

这里我们还将降维技术与CG-ATTACK相结合。具体来说，我们采用了基于离散余弦变换（DCT）的技术。算法1总结了使用DCT的CG-ATTACK的一般过程，其中我们采用了一种流行的基于ES的方法变体，即协方差矩阵自适应进化策略（CMAES）[19]作为基本算法。

 结论：

这项工作提出了一种新的基于分数的黑盒攻击方法，称为CG-attack。其主要思想是开发一种新的对抗性可转让机制，该机制对代理偏差具有鲁棒性。更具体地说，我们建议只传递代理模型CAD的部分参数，而其余参数则根据对目标模型的查询进行调整。我们利用强大的c-Glow模型对CAD进行精确建模，并开发了一种基于随机采样扰动的新型高效学习方法。在封闭集和开放集场景中，对两个基准数据集上的四个DNN模型进行了广泛的实验，以及对真实API的攻击，充分验证了CG-attack的优越攻击性能。