계약과 정복: 블랙박스 모델에 대한 적대적 예제를 어떻게 증명적으로 계산할 수 있는가?

Contract And Conquer: How to Provably Compute Adversarial Examples for a Black-Box Model?

블랙박스 적대적 공격은 심층 신경망의 견고성을 테스트하는 데 널리 사용되는 방법으로, 특정 모델 출력의 변화를 유도하기 위해 입력 데이터에 악의적인 변형을 가합니다. 이러한 방법은 경험적으로 효과적이지만, 특정 모델에 대해 적대적 예제가 항상 발견된다는 것을 보장하지는 않습니다. 본 논문에서는 블랙박스 방식으로 신경망에 대한 적대적 예제를 증명적으로 계산하는 접근 방식인 Contract And Conquer (CAC)를 제안합니다. CAC는 블랙박스 모델을 확장되는 데이터셋에 대해 지식 증류를 수행하고, 적대적 예제 탐색 공간을 정밀하게 축소하는 방식으로 작동합니다. CAC는 전이성 보장을 제공합니다. 즉, 이 방법은 고정된 알고리즘 반복 횟수 내에 블랙박스 모델에 대한 적대적 예제를 생성한다는 것을 증명합니다. 실험적으로, 제안된 접근 방식이 비전 트랜스포머를 포함한 다양한 대상 모델에 대해 ImageNet 데이터셋에서 기존의 최첨단 블랙박스 공격 방법에 비해 우수한 성능을 보이는 것을 보여줍니다.

Black-box adversarial attacks are widely used as tools to test the robustness of deep neural networks against malicious perturbations of input data aimed at a specific change in the output of the model. Such methods, although they remain empirically effective, usually do not guarantee that an adversarial example can be found for a particular model. In this paper, we propose Contract And Conquer (CAC), an approach to provably compute adversarial examples for neural networks in a black-box manner. The method is based on knowledge distillation of a black-box model on an expanding distillation dataset and precise contraction of the adversarial example search space. CAC is supported by the transferability guarantee: we prove that the method yields an adversarial example for the black-box model within a fixed number of algorithm iterations. Experimentally, we demonstrate that the proposed approach outperforms existing state-of-the-art black-box attack methods on ImageNet dataset for different target models, including vision transformers.