ADBA: Annäherungsansatz der Entscheidungsgrenze für Black-Box-Adversarial-Angriffe

Viele maschinelle Lernmodelle sind anfällig für Adversarial-Angriffe, wobei entscheidungsbasierte Black-Box-Angriffe die kritischste Bedrohung in realen Anwendungen darstellen. Diese Angriffe sind äußerst unauffällig und erzeugen adversariale Beispiele mithilfe harter Labels, die vom Ziel-Maschinenlernmodell erhalten werden. Dies wird typischerweise durch Optimierung von Störungsrichtungen realisiert, die durch entscheidungsbasierte Grenzen geleitet werden, welche durch abfrageintensives exaktes Suchen identifiziert werden, was die Erfolgsrate der Angriffe erheblich einschränkt. Dieses Papier stellt einen neuartigen Ansatz vor, der die Approximation der Entscheidungsgrenze (ADB) verwendet, um Störungsrichtungen effizient und präzise zu vergleichen, ohne die Entscheidungsgrenzen exakt bestimmen zu müssen. Die Effektivität unseres ADB-Ansatzes (ADBA) beruht darauf, geeignete ADB schnell zu identifizieren, um eine zuverlässige Unterscheidung aller Störungsrichtungen zu gewährleisten. Zu diesem Zweck analysieren wir die Wahrscheinlichkeitsverteilung der Entscheidungsgrenzen und bestätigen, dass die Verwendung des Medianwerts der Verteilung als ADB unterschiedliche Störungsrichtungen effektiv unterscheiden kann, was zur Entwicklung des ADBA-md-Algorithmus führt. ADBA-md benötigt im Durchschnitt nur vier Abfragen, um beliebige Paare von Störungsrichtungen zu unterscheiden, was sehr abfrageeffizient ist. Umfangreiche Experimente mit sechs bekannten Bildklassifikatoren zeigen deutlich die Überlegenheit von ADBA und ADBA-md gegenüber mehreren State-of-the-Art-Black-Box-Angriffen.