对抗性示例可用于恶意和秘密地改变模型的预测。众所周知,为一个模型设计的对抗示例也可以传输到其他模型。这构成了主要威胁,因为这意味着攻击者可以以黑框方式对准系统。在可转让性的领域,研究人员提出了使攻击更加可转移的方法,并使模型更强大,以转移的示例。但是,据我们所知,尚无作品提出一种在黑盒攻击者的角度对对抗性示例的转移性进行排名的方法。这是一项重要的任务,因为攻击者可能只使用一组选定的示例,因此需要选择最有可能传输的样本。在本文中,我们建议一种方法来排名在不访问受害者模型的情况下对对抗性示例的可传递性。为此,我们定义并估算了有关受害者信息有限的样本的预期可传递性。我们还探讨了实用的方案:对手可以选择要攻击的最佳样本以及对手必须使用特定样本,但可以选择不同的扰动。通过我们的实验,我们发现我们的排名方法可以将攻击者的成功率提高高达80%(而无需排名)。
translated by 谷歌翻译