DifAttack++: Query-Efficient Black-Box Adversarial Attack via Hierarchical Disentangled Feature Space in Cross Domain

本研究探讨了高攻击成功率（ASR）和良好泛化性能的有效基于分数的黑盒对抗攻击。我们设计了一种新的攻击方法，称为DifAttack ++，它基于一个分层的解耦特征空间和跨域，与现有的在整个特征空间操作的攻击方法有着显著的不同。具体来说，DifAttack ++ 首先通过一个自编码器和我们特别设计的分层解耦融合（HDF）模块将图像的潜在特征分解为一个对抗特征（AF）和一个视觉特征（VF），其中AF主导图像的对抗能力，而VF在很大程度上决定其视觉外观。我们分别为干净和对抗图像域训练这样的自编码器，同时通过使用从可用替代模型生成的干净图像对和它们的对抗样本（AE）实现特征解耦。最终，在黑盒攻击阶段，DifAttack ++ 根据受害模型的查询反馈迭代地优化AF，直到生成成功的AE，同时保持VF不变。大量实验结果表明，我们的方法比现有方法具有更优异的ASR和查询效率，同时展现了更好的AE视觉质量。代码可在https://github.com/csjunjun/DifAttack.git获取。

本文旨在设计一种高攻击成功率和良好泛化性能的有效基于分数的黑盒对抗攻击方法，通过将图像的潜在特征分解为对抗特征和视觉特征，使用自编码器进行特征分离，从而实现对抗攻击。

本文提出的DifAttack++方法通过自编码器的特征分离和迭代优化对抗特征的方式，相比于现有的基于整个特征空间的对抗攻击方法，具有更高的攻击成功率和更好的泛化性能。

本文的实验结果表明，DifAttack++方法在攻击成功率和查询效率方面优于现有方法，同时生成的对抗样本质量更高。论文提供了开源代码，并使用了多个数据集进行实验，其中还使用了现有的替代模型进行对抗攻击。未来的研究可以进一步探索基于分数的黑盒对抗攻击的方法。

最近的相关研究包括：1. Black-box Adversarial Attacks with Limited Queries and Information (ICML 2021); 2. Efficient Black-box Adversarial Attacks via Differentiable Search (CVPR 2021); 3. Adversarial Attacks and Defenses in Images, Graphs and Text: A Review (arXiv 2021)。