过去的黑盒攻击主要方法

主要记录一下基于置信度和基于决策的单标签攻击方法, 迁移攻击不是重点

基于置信度的攻击方法（score-based）

~~新时代的开始~~

基本思想：计算伪梯度

先对输入x进行一个扰动x’ = x+h·e
- h=1e-4, e是一个标准单位向量
记模型输出为Y, 利用对称差分得到

一阶导 $\hat{g}=\frac{\partial Y}{\partial x}\approx \frac{f(x+h·e)-f(x-h·e)}{2h}$

二阶导 $\hat{g}=\frac{\partial^2 Y}{\partial^2 x}\approx \frac{f(x+h·e)-2f(x)+f(x-h·e)}{h^2}$

如此这样就能对x进行梯度下降优化了

基本方法：随机搜索，在随机位置选择局部的方形更新，使每次迭代扰动近似位于约束区域的边界。每次迭代减小方形的大小。

与之前方法的联系：选用C&W损失函数作为目标函数来限制扰动，而C&W是一个经典的白盒攻击方法

目标函数： $F(\Pi_{img}(x+\delta))\neq F(x),s.t.\Vert \delta\Vert_p \lt \epsilon, \Pi$ 是一个投影方程_

\Pi_{Img}(·) = clip(·, 0, 1)

这个方程将原本的解空间缩小到[0,1]

使用的损失函数是C&W算法中使用的 $\min\limits_{\Vert\delta\Vert_p<\epsilon }L(\delta)=[f(x+\delta)_t-\max\limits_{j\neq t}]^+$

作者从缩小解空间和提高优化效率两个方面入手，使用概率和映射驱动的黑盒攻击方法，可以减少搜索空间，提高优化效率

通过稀疏采样减小问题解空间

提出了基于上述感知矩阵的概率驱动优化

基于自然梯度下降和零阶求导方法

Fisher信息矩阵，通过高斯平滑和对数梯度提高优化效率

基本的思想：不断优化生成的扰动（或对抗样本），使之可以让模型输出与想要的决策结果一致的结果。

初始的攻击样本是与对应攻击目标相符合的样本

使用的方法是正交扰动：所谓正交扰动，就是先水平动一下，然后垂直靠近边界，动态调整参数。(如Figure 2)

过程中需要满足如下约束条件：

扰动要和距离成相对关系 $\Vert \mu^k\Vert_2=\delta ·d(o, \hat{o}^{k-1})$
扰动要逐步减小对抗样本和原始样本的距离 $d(o,\hat{o}^{k-1})-d(o, \hat{o}^{k-1}+\eta_i^k)=\epsilon·d(o, \hat{o}^{k-1})$