Авторы: (1) Университет Руй Дуань Южной Флориды, Тампа, США (электронная почта: ruiduan@usf.edu); (2) Центральный Южный университет Чжэ Цюй, Чанша, Китай (электронная почта: zhe_qu@csu.edu.cn); (3) Американский университет Лии Динг, Вашингтон, округ Колумбия, США (электронная почта: ding@american.edu); (4) Университет Яо Лю Южной Флориды, Тампа, США (электронная почта: yliu@cse.usf.edu); (5) Университет Яо Лю Южной Флориды, Тампа, США (электронная почта: yliu@cse.usf.edu). Таблица ссылок Аннотация и введение Предыстория и мотивация Дрессировка попугаев: осуществимость и оценка Генерация PT-AE: совместная перспектива переносимости и восприятия Оптимизированные атаки PT-AE «черного ящика» Экспериментальные оценки Связанных с работой Заключение и ссылки Приложение II. ПРЕДПОСЫЛКИ И МОТИВАЦИЯ В этом разделе мы сначала знакомим с основами распознавания говорящего, а затем описываем формулировки состязательной атаки «черный ящик» для создания аудио-AE против распознавания говорящего. А. Признание выступающего Распознавание говорящего становится все более популярным в последние годы. Это дает машинам возможность идентифицировать говорящего по его/ее личным речевым характеристикам, что может предоставлять персонализированные услуги, такие как удобный вход в систему [4] и персонализированный опыт [1] для звонков и обмена сообщениями. Обычно задача распознавания говорящего включает в себя три этапа: обучение, зачисление и признание. Важно подчеркнуть, что задачами распознавания говорящего [29], [118], [113] могут быть либо (i) идентификация говорящего на основе нескольких говорящих (SI), либо (ii) проверка говорящего на основе одного говорящего (SV). . В частности, SI можно разделить на идентификацию закрытого набора (CSI) и идентификацию открытого набора (OSI) [39], [29]. Подробную информацию мы предоставляем в Приложении А. Б. Состязательные речевые атаки Учитывая функцию распознавания говорящего f, которая принимает на вход исходный речевой сигнал x и выводит метку говорящего y, злоумышленник стремится найти небольшой сигнал возмущения δ ∈ Ω, чтобы создать аудио AE x + δ такой, что f(x + δ) = yt, D(x, x + δ) ≤ ϵ, (1) где yt ̸= y — целевая метка злоумышленника; Ω — пространство поиска δ; D(x, x + δ) — это функция расстояния, которая измеряет разницу между исходной речью x и искаженной речью x+δ и может быть расстоянием, основанным на норме Lp [29], [118] или мерой различия слуховых характеристик. (например, qDev [44] и NISQA [113]); и ϵ ограничивает переход от x к x + δ. Обычная формулировка атаки белого ящика [28], [72] для решения (1) может быть записана как где J (·, ·) — потери прогнозирования в классификаторе f при сопоставлении входных данных x + δ с целевой меткой yt, которая, как предполагается, известна злоумышленнику; и c — фактор, позволяющий сбалансировать эффективность атаки и изменение исходной речи. Атака черного ящика не знает J (·, ·) в (2) и поэтому должна принять другой тип формулировки в зависимости от того, какую еще информацию она может получить от классификатора f. Если атака может проверить классификатор, который дает двоичный результат (принять или отклонить), атаку [118], [74] можно сформулировать как Поскольку (3) содержит f(x + δ), злоумышленнику необходимо создать стратегию проверки, чтобы непрерывно генерировать разные версии δ и измерять результат f(x + δ) до тех пор, пока это не добьется успеха. Соответственно, требуется большое количество зондов (например, более 10 000 [118]), что делает реальные атаки менее практичными против коммерческих моделей распознавания говорящих, которые принимают речевые сигналы по беспроводной сети. C. Мотивация дизайна Чтобы преодолеть громоздкий процесс исследования атаки «черный ящик», мы стремимся найти альтернативный способ создания практических атак «черный ящик». Учитывая тот факт, что атака «черного ящика» невозможна без проверки или знания классификатора, мы принимаем предположение о предварительных знаниях, использованное в [118], что злоумышленник обладает очень коротким аудиообразцом целевого говорящего (обратите внимание, что [118] в дополнение к этим знаниям необходимо исследовать целевую модель). Это предположение более практично, чем предоставление злоумышленнику информации о внутреннем устройстве классификатора. Учитывая эти ограниченные знания, мы стремимся исключить процесс зондирования и создать эффективные НЯ. Существующие исследования были сосредоточены на широком спектре аспектов, касающихся обученных AE (GT-AE). Концепции речи попугаев и дрессировки попугаев создают новый тип AE, AE, обученные попугаями (PT-AE), а также поднимают три основных вопроса о осуществимости и эффективности PT-AE для практической атаки «черного ящика»: ) Может ли модель PT приблизиться к модели GT? (ii) Являются ли PT-AE, построенные на модели PT, такими же переносимыми, как GT-AE на модель GT «черного ящика»? (iii) Как оптимизировать генерацию PT-AE для эффективной атаки «черного ящика»? На рис. 1 показана общая процедура решения этих вопросов для новой, практичной и неисследующей атаки «черного ящика»: (1) мы предлагаем двухэтапный метод одноразового преобразования для создания речи попугая для обучения попугаев в разделе III; (2) мы изучаем различные типы поколений PT-AE на основе модели PT относительно их переносимости и качества восприятия в разделе IV; и (3) мы формулируем оптимизированную атаку «черный ящик» на основе PT-AE в разделе V. Затем мы проводим всесторонние оценки, чтобы понять влияние предлагаемой атаки на коммерческие аудиосистемы в разделе VI. D. Модель угроз В этой статье мы рассматриваем злоумышленника, который пытается создать аудио AE, чтобы обмануть модель распознавания говорящего, чтобы модель распознала AE как голос целевого говорящего. Мы принимаем предположение о атаке «черный ящик», согласно которому злоумышленник не имеет знаний об архитектуре, параметрах и обучающих данных, используемых в модели распознавания речи. Мы предполагаем, что у злоумышленника есть очень короткий образец речи (по нашим оценкам, несколько секунд) целевого говорящего, который можно собрать в общественных местах [118], но этот образец не обязательно используется для обучения целевой модели. Мы ориентируемся на более реалистичный сценарий, в котором злоумышленник не исследует модель, что отличается от большинства исследований атак «черного ящика» [113], [29], [118], которые требуют большого количества проверок. Мы предполагаем, что злоумышленнику необходимо запустить беспроводную инъекцию в модель (например, Amazon Echo, Apple HomePod и Google Assistant). Этот документ под лицензией CC0 1.0 DEED. доступен на arxiv
