【论文阅读】Partial Retraining Substitute Model for Query-Limited Black-Box Attacks

摘要

针对深度神经网络（DNN）分类器的黑盒攻击正受到越来越多的关注，因为它们在现实世界中比白盒攻击更实用。在黑盒环境中，对手对目标模型的了解有限。这使得难以估计用于制作对抗示例的梯度，从而无法将强大的白盒算法直接应用于黑盒攻击。因此，一种著名的黑盒攻击策略会创建本地DNN（称为替代模型）来模拟目标模型。然后，对手使用替代模型而不是未知目标模型来制作对手示例。替代模型重复查询过程，并通过观察目标模型对查询的响应中的标签来进行训练。然而，模拟目标模型通常需要进行大量查询，因为从一开始就训练新的DNN。在这项研究中，我们提出了一种新的替代模型训练方法，以最大程度地减少查询数量。我们认为查询数量是实施实际黑盒攻击的重要因素，因为现实世界的系统通常出于安全和财务目的限制查询。为了减少查询数量，所提出的方法不模拟整个目标模型，而仅基于当前攻击来调整部分分类边界。此外，它在预训练阶段不使用查询，而仅在再训练阶段创建查询。实验结果表明，该方法在查询数量和针对MNIST，VGGFace2，在查询受限的黑盒环境中使用ImageNet分类器。此外，我们展示了针对商业分类器Google AutoML Vision的黑盒攻击。

引言

深度神经网络 （DNN） 分类器在许多领域都取得了重大进展。尽管取得了巨大的成功，但最近的研究表明，DNN 容易受到设计良好的输入样本（称为对抗性样本）的影响。
对抗性示例的早期研究使用白盒环境，在这种环境中，攻击者可以不受限制地访问目