Zusammenfassung - Verfahren zur Optimierung der Ray Search für Hard-label-Angriffe mit Transfer-basierten Vorgaben

Verfahren zur Optimierung der Ray Search für Hard-label-Angriffe mit Transfer-basierten Vorgaben

2025-07-23 15:11:25

{"Chen Ma","Xinjie Xu","Shuyu Cheng","Qi Xuan"}

{cs.CV,cs.CR,cs.LG,"I.2.6; I.5.1; G.1.6"}

Dieses Papier stellt neue harte-Label-Angriffe, Prior-OPT und Prior-Sign-OPT, vor, die transferbasierte Prioritäten in die Gradientenbestimmung der Strahlenrichtung integrieren und die Angriffsleistung erheblich steigern. **Schlüsselpunkte**: * **Harte-Label-Angriffe**: Diese Angriffe setzen ausschließlich auf das top-1 vorausgesagte Label und sind dann praktisch, wenn nur Labelinformationen zugänglich sind. * **Strahlen-Suchmethoden**: Diese Methoden finden die optimale Strahlenrichtung aus einem harmlosen Bild, die die Entfernung zur adversären Region minimiert. Allerdings leiden bestehende Methoden wie OPT und Sign-OPT unter hoher Abfragekomplexität und geringer Estimationsgenauigkeit. * **Transferbasierte Prioritäten**: Diese Prioritäten werden aus Surrogatmodellen gewonnen und helfen, die Genauigkeit der Gradientenbestimmung zu verbessern, ohne die Abfragekomplexität erheblich zu erhöhen. * **Prior-Sign-OPT und Prior-OPT**: Diese Algorithmen bestimmen den Gradienten anhand einer Kombination von Prioritäten und zufällig gesampelten Vektoren. Prior-Sign-OPT nutzt die Zeigerfunktion der Richtungsdifferenz für Effizienz, während Prior-OPT eine genauere Approximation mit etwas mehr Abfragen bietet. * **Theoretische Analyse**: Das Papier leitet Ausdrücke für die erwarteten Kosinusähnlichkeiten zwischen den geschätzten und tatsächlichen Gradienten ab, was theoretische Vergleiche ermöglicht und die durch die Integration von Prioritäten erzielte Verbesserung demonstriert. * **Experimente**: Ausgiebige Experimente auf den Datensätzen ImageNet und CIFAR-10 zeigen, dass Prior-OPT und Prior-Sign-OPT im Vergleich zu 11 aktuelleren Methoden erheblich bessere Ergebnisse in Bezug auf Abfrageeffizienz und Angriffsleistung erzielen. **Vorteile**: * **Verbesserte Abfrageeffizienz**: Die vorgeschlagenen Methoden erreichen eine bessere Abfrageeffizienz im Vergleich zu bestehenden harten-Label-Angriffen. * **Höhere Angriffsleistung**: Die Integration von transferbasierten Prioritäten verbessert die Genauigkeit der Gradientenbestimmung erheblich und führt zu einer besseren Angriffsleistung. * **Skalierbarkeit**: Die Methoden können leicht auf mehrere Surrogatmodelle und verschiedene Angriffsszenarien erweitert werden. **Anwendungen**: Die vorgeschlagenen Methoden können verwendet werden, um die Robustheit tiefer neuronaler Netze zu bewerten und Schwachstellen zu enthüllen. Sie können auch in Verteidigungsmechanismen integriert werden, um die Sicherheit von AI-Systemen zu verbessern. **Insgesamt stellt dieses Papier eine neue und effektive Herangehensweise für harte-Label-Angriffe vor, die erhebliche Verbesserungen in der Abfrageeffizienz und der Angriffsleistung bietet. Die vorgeschlagenen Methoden haben das Potenzial, zur Entwicklung robusterer und sichererer AI-Systeme beizutragen**.