隐蔽图像后门攻击

目的 图像后门攻击是一种经典的对抗性攻击形式,后门攻击使被攻击的深度模型在正常情况下表现良好,而当隐藏的后门被预设的触发器激活时就会出现恶性结果。现有的后门攻击开始转向为有毒样本分配干净标签或在有毒数据中隐蔽触发器以对抗人类检查,但这些方法在视觉监督下很难同时具备这两种安全特性,并且它们的触发器可以很容易地通过统计分析检测出来。因此,提出了一种隐蔽有效的图像后门攻击方法。方法 首先通过信息隐藏技术隐蔽图像后门触发,使标签正确的中毒图像样本(标签不可感知性)和相应的干净图像样本看起来几乎相同(图像不可感知性)。其次,设计了一种全新的后门攻击范式,其中毒的源图像类别同时也是目标类。提出的后门攻击方法不仅视觉上是隐蔽的,同时能抵御经典的后门防御方法(统计不可感知性)。结果 为了验证方法的有效性与隐蔽性,在ImageN et、MNIST、CIFAR-10数据集上与其他3种方法进行了对比实验。实验结果表明,在3个数据集上,原始干净样本分类准确率下降均不到1%,中毒样本分类准确率都超过94%,并具备最好的图像视觉效果。另外,验证了所提出的触发器临时注入的任意图像样本都可以发起有效的后门攻击。结论 ...     

面向视觉分类模型的投毒攻击

数据投毒攻击中的后门攻击方式的攻击者通过将带有隐藏触发器的样本插入训练集中来操纵训练数据的分布,从而使测试样本错误分类以达到改变模型行为和降低模型性能的目的。而现有触发器的弊端是样本无关性,即无论采用什么触发模式,不同有毒样本都包含相同触发器。因此将图像隐写技术与深度卷积对抗网络（DCGAN）结合,提出一种基于样本的攻击方法来根据灰度共生矩阵生成图像纹理特征图,利用图像隐写技术将目标标签字符嵌入纹理特征图中作为触发器,并将带有触发器的纹理特征图和干净样本拼接成中毒样本,再通过DCGAN生成大量带有触发器的假图。在训练集样本中将原中毒样本以及DCGAN生成的假图混合起来,最终达到投毒者注入少量的中毒样本后,在拥有较高的攻击率同时,保证触发器的有效性、可持续性和隐藏性的效果。实验结果表明,该方法避免了样本无关性的弊端,并且模型精确度达到93.78%,在30%的中毒样本比例下,数据预处理、剪枝防御以及AUROR防御方法对攻击成功率的影响达到最小,攻击成功率可达到56%左右。     

基于有理样条的图像缩放算法

提出基于双三次有理插值样条模型的图像缩放算法.用有理插值样条函数将离散数字图像建成相应的连续数学模型,然后按缩放要求进行重新采样,实现图像的缩放.实验结果表明:该算法能有效地应用于数字图像的缩放处理,得到的图像轮廓清晰、边界分明,且算法简单,易于实现.     

基于三次拉格朗日插值的自适应图像缩放

传统的插值算法由于低通滤波效应通常会使目标图像边缘模糊,难以得到满意的视觉效果.为了取得较好的图像缩放质量,提出一种基于三次拉格朗日插值的自适应图像缩放算法.该算法首先计算目标像素点周围三组源像素点的方差,选取方差最小的一组源像素点,然后采用三次拉格朗日插值公式求得目标像素点的灰度值.实验结果表明,本文算法所得的目标图像边缘清晰,且算法复杂度较低,便于硬件实现,可以实现实时图像缩放.     

带参数有理Coons曲面插值的图像缩放方法

利用多项式插值模型进行图像缩放时,由于多项式函数只能反映数据的渐变性而不能反映其突变性,因此图像缩放的质量不高.为此,提出一种基于带参数有理Coons曲面插值模型的图像缩放方法.首先将数字图像表示成带有形状参数的分片连续双三次有理Coons插值曲面,然后按缩放要求进行重新采样以实现图像的缩放,并通过调整参数的取值来获得...     

基于自定义后门的触发器样本检测方案

深度学习利用强大的特征表示和学习能力为金融、医疗等多个领域注入新的活力, 但其训练过程存在安全威胁漏洞, 攻击者容易通过操纵训练集或修改模型权重执行主流后门攻击: 数据中毒攻击与模型中毒攻击。两类攻击所产生的后门行为十分隐蔽, 后门模型可以保持干净样本的分类精度, 同时对嵌入攻击者预定义触发器的样本呈现定向误分类。针对干净样本与触发器样本在拟合程度上的区别, 提出一种基于自定义后门行为的触发器样本检测方案 BackDetc, 防御者自定义一种微小触发器并执行数据中毒攻击向模型注入自定义的后门, 接着通过嵌入自定义触发器设计一种输入样本扰动机制, 根据自定义触发器的透明度衡量输入样本的拟合程度, 最终以干净样本的拟合程度为参照设置异常检测的阈值, 进而识别触发器样本, 不仅维持资源受限用户可负担的计算开销, 而且降低了后门防御假设, 能够部署于实际应用中, 成功抵御主流后门攻击以及威胁更大的类可知后门攻击。在 MNIST、 CIFAR-10 等分类任务中, BackDetc 对数据中毒攻击与模型中毒攻击的检测成功率均高于目前的触发器样本检测方案, 平均达到 99.8%以上。此外, 论文探究了检测假阳率对检测性能的影响, 并给出了动态调整 BackDetc 检测效果的方法, 能够以 100%的检测成功率抵御所有分类任务中的主流后门攻击。最后, 在 CIFAR-10 任务中实现类可知后门攻击并对比各类触发器样本检测方案, 仅有 BackDetc 成功抵御此类攻击并通过调整假阳率将检测成功率提升至 96.2%。     

面向联邦学习的神经通路中毒攻击方法

随着人工智能技术与大数据科学的不断发展，联邦学习在金融、医疗、工业制造等重要领域中得到广泛运用.同集中式学习相比，联邦学习在效率和安全性上都有明显的优势.然而，随着应用层次的逐步深入，联邦学习也随之暴露出一些安全问题，例如：隐私窃取、中毒攻击等.为了更好的挖掘联邦学习中存在的安全漏洞，本文提出了一种面向联邦学习的神经通路中毒攻击方法(Neural Path Poisoning Attack, NPFA).首先利用准备的中毒数据集生成与目标模型等价的中毒模型，然后提取中毒模型中的神经通路并替换目标模型的神经通路，使得联邦模型在聚合的过程中中毒，并在保持中毒能力的同时克服中毒模型与正常模型差异较大这一问题，实现隐蔽的中毒攻击，绕过防御方法.大量实验验证了植入神经通路后的中毒成功率可以达到85%以上，并且联邦学习主任务性能略有提升.值得一提的是，在一些联邦防御方法下，NPFA依旧有很好的攻击效果.     

基于生成式对抗网络的联邦学习后门攻击方案

联邦学习使用户在数据不出本地的情形下参与协作式的模型训练,降低了用户数据隐私泄露风险,广泛地应用于智慧金融、智慧医疗等领域.但联邦学习对后门攻击表现出固有的脆弱性,攻击者通过上传模型参数植入后门,一旦全局模型识别带有触发器的输入时,会按照攻击者指定的标签进行误分类.因此针对联邦学习提出了一种新型后门攻击方案Bac_GAN,通过结合生成式对抗网络技术将触发器以水印的形式植入干净样本,降低了触发器特征与干净样本特征之间的差异,提升了触发器的隐蔽性,并通过缩放后门模型,避免了参数聚合过程中后门贡献被抵消的问题,使得后门模型在短时间内达到收敛,从而显著提升了后门攻击成功率.此外,论文对触发器生成、水印系数、缩放系数等后门攻击核心要素进行了实验测试,给出了影响后门攻击性能的最佳参数,并在MNIST,CIFAR-10等数据集上验证了Bac_GAN方案的攻击有效性.     

基于DT-CWT的数字水印算法

为了实现数字图像的版权保护,设计了一种基于双树复小波变换的抗几何攻击的数字水印算法:对水印图像进行三级双树复小波变换,提取特征并插值为特征矩阵,并且定义了一种新的距离向量用于相似性度量,使用特征矩阵对遭受几何攻击的图像进行参数估计.实验结果表明,该算法可用于对图像遭受的对称缩放、非对称缩放、旋转等几何攻击进行校正,确保水印嵌入与检测的同步.     

一种基于内容分割的数字地图插值新算法

本文以图像内容分割为基础,提出了一种插值新算法。该方法在HSV空间用DCT系数表征图像的内容差异,将图像内容划分为目标和背景两大类,并且将目标内容划分为两级重要度;根据使用者对目标和背景以及目标重要度的不同要求,对不同部分采用与之相适应的插值算法进行缩放处理。实验表明,该方法可以提高缩放处理速度,而且插值效果果不亚于经典的高质量插值算法。     

基于特征加权聚合的图像检索目标对抗攻击方法

基于深度学习的图像检索技术使得图像隐私泄露成为一个亟待解决的问题.利用对抗攻击生成的对抗样本,可在一定程度上实现隐私保护.但现有针对图像检索系统的目标对抗攻击方法易受选取目标样本质量和数量的影响,导致其攻击效果不佳.针对该问题,提出了一种基于特征加权聚合的图像检索目标对抗攻击方法,该方法将目标图像的检索准确率作为衡量样本质量的权重,利用目标类中少量样本的特征进行加权聚合获取类特征作为最终攻击目标.在RParis和ROxford两个数据集上的实验结果表明,该方法生成的对抗样本相比TMA方法,检索精度平均提升38％,相比DHTA方法,检索精度平均提升7.5％.     

基于平移随机变换的对抗样本生成方法

基于深度神经网络的图像分类模型能够以达到甚至高于人眼的识别度识别图像,但是因模型自身结构的脆弱性,导致其容易受对抗样本的攻击。现有的对抗样本生成方法具有较高的白盒攻击率,而在黑盒条件下对抗样本的攻击成功率较低。将数据增强技术引入到对抗样本生成过程中,提出基于平移随机变换的对抗样本生成方法。通过构建概率模型对原始图像进行随机平移变换,并将变换后的图像用于生成对抗样本,有效缓解对抗样本生成过程中的过拟合现象。在此基础上,采用集成模型攻击的方式生成可迁移性更强的对抗样本,从而提高黑盒攻击成功率。在ImageNet数据集上进行单模型和集成模型攻击的实验结果表明,该方法的黑盒攻击成功率高达80.1%,与迭代快速梯度符号方法和动量迭代快速梯度符号方法相比,该方法的白盒攻击成功率虽然略有降低,但仍保持在97.8%以上。     

Simplex噪声区域中目标特征的对抗攻击算法

针对当前黑盒环境中,主流的图像对抗攻击算法在有限的目标模型访问查询次数条件下攻击准确率低的问题,提出一种基于目标特征和限定区域采样的目标攻击算法.首先根据原始图像和目标图像生成初始对抗样本;然后在Simplex-mean噪声区域中进行扰动采样,并根据对抗样本和原始图像差异度以及目标特征区域位置决定扰动大小;最后将扰动作用于初始对抗样本中,使新的对抗样本在保持对抗性的同时缩小与原始图像的差异度.以常见的图像分类模型InceptionV3和VGG16等为基础,在相同的目标模型访问查询,以及与对抗样本和原始图像的l₂距离小于55.89的条件下,采用BBA等算法对同一图像集和目标集进行攻击.实验结果表明,在同样的目标模型访问查询和l₂=55.89的限制条件下,不超过5 000次目标查询时,在InceptionV3模型上该算法的攻击准确率比同类攻击算法提升至少50%.     

细胞神经网络与改进AES的超混沌图像加密方案

针对当前一类基于混沌系统的图像加密算法的应用进行研究,提出了一种五维细胞神经网络和AES（高级加密标准）加密算法相结合的超混沌图像加密算法。该方法定义了五个数和提取一个与明文像素值相关的参数作为密钥,通过细胞神经网络生成的超混沌序列作为AES加密算法的目标密钥;将明文与目标密钥进行异或处理;将目标密钥代入算法进行若干次AES加密算法进行加密得到密文。通过实验仿真表明,该算法能较好地抵抗差分攻击、统计特性分析等,而且还能有效抵抗明文攻击,加密效果较好。     

基于侧信道与量化推理缺陷的模型逆向攻击

模型逆向攻击旨在恢复部署在推理终端的神经网络模型的结构和权重值,是 AI 安全中的基础问题,为对抗样本等高阶攻击提供数据支撑。提出了一种名为 Cluster-based SCA 的新型模型权重逆向方法,该方法不要求攻击者构造泄露模型。Cluster-based SCA方法以量化推理中存在的安全隐患为出发点,深入分析了量化推理过程,发现在量化推理中存在的输出序列分类不等价现象可以判断猜测权重的正确与否。Cluster-based SCA 将采集到的模型运行时产生的侧信道信息按照假设权重产生的中间值进行分类,以分类后的平均离散系数$\overline{\sigma }$为评判标准,取$\overline{\sigma }$最小时的权重为逆向权重。在仿真实验上验证了 Cluster-based SCA方法的有效性,实验使用汉明重模型来模拟AI芯片的泄露模型,对于目标CNN,Cluster-based SCA方法以52.66%的TOP2恢复率恢复了其第一层卷积层所有卷积核权重,对于取值位于显著区的权重,TOP2的恢复率均达到了100%。     

基于改进投影梯度下降算法的图卷积网络投毒攻击

图神经网络在面对节点分类、链路预测、社区检测等与图数据处理相关的任务时,容易受到对抗性攻击的安全威胁。基于梯度的攻击方法具有有效性和高效性,被广泛应用于图神经网络对抗性攻击,高效利用攻击梯度信息与求取离散条件下的攻击梯度是攻击离散图数据的关键。提出基于改进投影梯度下降算法的投毒攻击方法。将模型训练参数看作与扰动相关的函数,而非固定的常数,在模型的对抗训练中考虑了扰动矩阵的影响,同时在更新攻击样本时研究模型对抗训练的作用,实现数据投毒与对抗训练两个阶段的结合。采用投影梯度下降算法对变量实施扰动,并将其转化为二进制,以高效利用攻击梯度信息,从而解决贪婪算法中时间开销随扰动比例线性增加的问题。实验结果表明,当扰动比例为5%时,相比Random、DICE、Min-max攻击方法,在Citeseer、Cora、Cora_ml和Polblogs数据集上图卷积网络模型被该方法攻击后的分类准确率分别平均降低3.27%、3.06%、3.54%、9.07%,在时间开销和攻击效果之间实现了最佳平衡。     

黑盒机器学习模型的成员推断攻击研究

近年来,机器学习技术飞速发展,并在自然语言处理、图像识别、搜索推荐等领域得到了广泛的应用。然而,现有大量开放部署的机器学习模型在模型安全与数据隐私方面面临着严峻的挑战。本文重点研究黑盒机器学习模型面临的成员推断攻击问题,即给定一条数据记录以及某个机器学习模型的黑盒预测接口,判断此条数据记录是否属于给定模型的训练数据集。为此,本文设计并实现了一种基于变分自编码器的数据合成算法,用于生成与给定模型的原始训练数据分布相近的合成数据;并在此基础上提出了基于生成对抗网络的模拟模型构建算法,利用合成数据训练得到与给定模型具有相似预测能力的机器学习模型。相较于现有的成员推断攻击工作,本文所提出的推断攻击无需目标模型及其训练数据的先验知识,在仅有目标模型黑盒预测接口的条件下,可获得更加准确的攻击结果。通过本地模型和线上机器学习即服务平台BigML的实验结果证明,所提的数据合成算法可以得到高质量的合成数据,模拟模型构建算法可以在更加严苛的条件下模拟给定模型的预测能力。在没有目标模型及其训练数据的先验知识条件下,本文所提的成员推断攻击在针对多种目标模型进行攻击时,推断准确率最高可达74%,推断精确率可达86%;与现有最佳攻击方法相比,将推断准确率与精确率分别提升10.7%及11.2%。     

基于标志网络的深度学习多模型水印方案

针对经典水印技术在进行深度学习模型知识产权保护过程中, 存在水印多模型时可复用性不高和开销较大、易被检测和攻击等问题; 在黑盒场景下, 本文从构造触发集、设计嵌入方式等方面切入, 设计一种基于标志网络(Logo Network, LogoNet)的深度学习多模型水印方案(Logo Network based Deep Learning Multi-model Watermarking Scheme, LNMMWS)。首先, 利用二进制编码生成触发集, 并随机裁剪原训练样本以生成噪声集, 精简 LogoNet 层结构, 并在触发集和噪声集的混合数据集上训练LogoNet, LogoNet 拟合触发集并泛化噪声集以获取较高的水印触发模式识别精度和噪声处理能力。其次, 根据不同目标模型的分类类别, 从 LogoNet 中选择水印触发模式, 并调整 LogoNet 输出层的维度, 使 LogoNet 输出层和不同目标模型的输出层相嵌合, 以实现多模型水印的目的。最后, 当所有者发现可疑的远程应用程序接口服务时, 可以输入多组特定的触发样本, 经过输入层变换后, 触发特定的输出以核验水印并实现所有权验证。实验及分析表明, 使用 LNMMWS 进行深度学习模型所有权验证时,具有较高的水印触发模式识别精度、较小的嵌入影响、较多的水印触发模式数量, 并相比已有方案具有更低的时间开销;LNMMWS 在模型压缩攻击、模型微调攻击下具有较好的稳定性, 并具备较强的隐秘性, 能够规避恶意检测风险。