Zero-Query Adversarial Attack on Black-box Automatic Speech Recognition Systems

近年来，对ASR系统的漏洞性进行了广泛的研究，揭示了黑盒对抗样本攻击对现实世界中的ASR系统构成了重大威胁。然而，大多数现有的黑盒攻击都依赖于对目标ASR的查询，当不允许查询时，这是不切实际的。本文提出了ZQ-Attack，一种基于转移的ASR系统黑盒零查询对抗攻击。通过对现代ASR技术的全面审查和分类，我们首先精心选择了不同类型的替代ASR来生成对抗样本。接下来，ZQ-Attack使用缩放的目标命令音频初始化对抗扰动，使其相对不可察觉，同时保持有效性。随后，为了实现对抗扰动的高可转移性，我们提出了一个序列集成优化算法，该算法在每个替代模型上迭代地优化对抗扰动，利用其他模型的协作信息。我们进行了大量实验来评估ZQ-Attack。在超线性设置下，ZQ-Attack在4个在线语音识别服务上取得了100%的攻击成功率（SRoA），平均信噪比（SNR）为21.91dB，并在16个开源ASR上实现了平均SRoA为100%和SNR为19.67dB。对于商业智能语音控制设备，在超空气设置下，ZQ-Attack也实现了100%的SRoA，平均SNR为15.77dB。

本论文旨在解决零查询黑盒情况下语音识别系统的对抗攻击问题，提出了一种基于转移学习的攻击方法。

ZQ-Attack算法通过选择多种类型的替代ASR模型生成对抗样本，使用目标命令音频进行初始化，然后采用顺序集成优化算法，迭代地在每个替代模型上优化对抗扰动，并利用其他模型的协作信息实现高可迁移性。

论文在4个在线语音识别服务和16个开源ASR上进行了广泛实验，证明了ZQ-Attack的有效性。在线设置下，ZQ-Attack在4个在线语音识别服务上的攻击成功率为100％，信噪比为21.91dB，16个开源ASR的平均攻击成功率为100％，信噪比为19.67dB。在商业智能语音控制设备上，ZQ-Attack也实现了100％的攻击成功率，信噪比为15.77dB。

最近的相关研究包括：1. Exploring the Security of Voice Assistants in the Internet of Things; 2. Adversarial Attacks on Deep-Learning Based ASR Models; 3. Generating Adversarial Examples for Speech Recognition Systems with Adversarial Perturbation Networks。