EvoIBA: Ataque Evolutivo de Fronteira em Condição de Caixa Preta com Rótulo Rígido

Pesquisas demonstraram que redes neurais profundas (DNNs) possuem vulnerabilidades que podem levar ao reconhecimento incorreto de Exemplos Adversariais (AEs) com perturbações especificamente projetadas. Diversos métodos de ataque adversarial foram propostos para detectar vulnerabilidades em condições de caixa preta com rótulo rígido (HL-BB), na ausência de gradientes de perda e escores de confiança. Entretanto, esses métodos resultam em soluções locais porque buscam apenas regiões locais do espaço de busca. Portanto, este estudo propõe um método de ataque adversarial chamado EvolBA para gerar AEs utilizando a Covariance Matrix Adaptation Evolution Strategy (CMA-ES) sob a condição HL-BB, na qual apenas o rótulo de classe previsto pelo modelo DNN alvo está disponível. Inspirado pelo aprendizado supervisionado orientado por fórmulas, o método proposto introduz operadores independentes de domínio para o processo de inicialização e um salto que aumenta a exploração da busca. Resultados experimentais confirmaram que o método proposto pode determinar AEs com perturbações menores do que métodos anteriores em imagens onde estes últimos encontram dificuldade.