【黑盒攻击笔记】2019贝叶斯优化攻击样本BLACK-BOX ADVERSARIAL ATTACK WITH TRANSFERABLE MODEL-BASED EMBEDDING

0.基础知识

贝叶斯优化：叶斯优化介绍

1.Introduction

①背景：
当前的decision-based attack（黑盒攻击）多基于梯度，因此容易陷入局部最优
基于概率：计算量大；全局最优→更适用低维
基于梯度：计算量小；局部最优→更适用高维

②贡献：
a.实验证明①
b.基于贝叶斯优化和逐次对半，找到更小对抗且减少计算量

2.Algorithm

①decision-based attack对初始化更敏感（更易陷入局部最优），This is because they only update solutions on the decision boundary while C&W and PGD attack （白盒）can update solution inside/outside the boundary.

②算法思想：
按我的理解，基础算法A和BOSH改进后的算法A是这样的：

A：对一个初始方向（初始化），迭代，找最优解。

BOSH-A：初始化k个方向，对每个方向迭代，迭代的过程量都放入种群中。所有方向全部迭代完成之后，去掉性能差的一半，以剩下的性能好的重采样后，再次作为初始方向。不断重复。

上图中的TPE为：
BO和SH的含义为：
SH：共有n组待测样本，共有W算力，每组分配W/n个看结果，去掉差的一半（多用于超参数搜索中，处理随机搜索/网格搜索/贝叶斯搜索后的超参数组的处理方法）

使用TEP贝叶斯的原因：高斯贝叶斯在高维下计算量较大

4.实验

①成功提高了现有攻击方法：
②与单纯的增加初始方向比较效果好很多。此外，因为重采样的作用，种群数大于30之后再增加k效果就不明显了，最终效果得以不过度依赖于k。