基于决策反馈的黑盒攻击是相对贴合实际但更具挑战性的一类场景。在这种场景下,攻击者只能通过查询目标模型来获得模型最终输出的分类类别结果,而无法得到模型的详细信息。现有的基于决策的对抗攻击算法通常采用启发式的设计且在查询效率和攻击成功率等方面的表现均不尽人意。本项目针对该问题,提出了AutoDA来自动发现好的基于决策的对抗攻击算法,通过构建了一个相对通用的对抗攻击算法的搜索空间,并设计了一种有效的搜索算法来探索该搜索空间,实现了一个容量小且运行快的模型来高效地评估和发现好的对抗攻击算法。相关成果发表在会议USENIX Security2022上。
Qi-An Fu; Yinpeng Dong; Hang Su; Jun Zhu; Chao Zhang; AutoDA: Automated Decision-based Iterative Adversarial Attacks, 31st USENIX Security Symposium, Security 2022, Boston, MA, United states, 2022-8-10至2022-8-12.