基于GAN实现环境声音分类的组合对抗防御

虽然深度神经网络可以有效改善环境声音分类(ESC)性能，但对对抗样本攻击依然具有脆弱性。已有对抗防御方法通常只对特定攻击有效，无法适应白盒、黑盒等不同攻击场景。为提高ESC模型在各种场景下对各种攻击的防御能力，该文提出一种结合对抗检测、对抗训练和判别性特征学习的ESC组合对抗防御方法。该方法使用对抗样本检测器(AED)对输入ESC模型的样本进行检测，基于生成对抗网络(GAN)同时对AED和ESC模型进行对抗训练，其中，AED作为GAN的判别器使用。同时，该方法将判别性损失函数引入ESC模型的对抗训练中，以驱使模型学习到的样本特征类内更加紧凑、类间更加远离，进一步提升模型的对抗鲁棒性。在两个典型ESC数据集，以及白盒、自适应白盒、黑盒攻击设置下，针对多种模型开展了防御对比实验。实验结果表明，该方法基于GAN实现多种防御方法的组合，可以有效提升ESC模型防御对抗样本攻击的能力，对应的ESC准确率比其他方法对应的ESC准确率提升超过10%。同时，实验验证了所提方法的有效性不是由混淆梯度引起的。     

面向纵向联邦学习的对抗样本生成算法

为了适应纵向联邦学习应用中高通信成本、快速模型迭代和数据分散式存储的场景特点,提出了一种通用的纵向联邦学习对抗样本生成算法VFL-GASG。具体而言,构建了一种适用于纵向联邦学习架构的对抗样本生成框架来实现白盒对抗攻击,并在该架构下扩展实现了L-BFGS、FGSM、C&W等不同策略的集中式机器学习对抗样本生成算法。借鉴深度卷积生成对抗网络的反卷积层设计,设计了一种对抗样本生成算法VFL-GASG以解决推理阶段对抗性扰动生成的通用性问题,该算法以本地特征的隐层向量作为先验知识训练生成模型,经由反卷积网络层产生精细的对抗性扰动,并通过判别器和扰动项控制扰动幅度。实验表明,相较于基线算法,所提算法在保持高攻击成功率的同时,在生成效率、鲁棒性和泛化能力上均达到较高水平,并通过实验验证了不同实验设置对对抗攻击效果的影响。     

结合自适应步长策略和数据增强机制提升对抗攻击迁移性

深度神经网络具有脆弱性,容易被精心设计的对抗样本攻击.梯度攻击方法在白盒模型上攻击成功率较高,但在黑盒模型上的迁移性较弱.基于Heavy-ball型动量和Nesterov型动量的梯度攻击方法由于在更新方向上考虑了历史梯度信息,提升了对抗样本的迁移性.为了进一步使用历史梯度信息,本文针对收敛性更好的Nesterov型动量方法,使用自适应步长策略代替目前广泛使用的固定步长,提出了一种方向和步长均使用历史梯度信息的迭代快速梯度方法（Nesterov and Adaptive-learning-rate based Iterative Fast Gradient Method,NAI-FGM）.此外,本文还提出了一种线性变换不变性（Linear-transformation Invariant Method,LIM）的数据增强方法 .实验结果证实了NAI-FGM攻击方法和LIM数据增强策略相对于同类型方法均具有更高的黑盒攻击成功率.组合NAI-FGM方法和LIM策略生成对抗样本,在常规训练模型上的平均黑盒攻击成功率达到87.8%,在对抗训练模型上的平均黑盒攻击成功率达到57.5%,在防御模型上...     

电磁信号调制识别中的对抗性攻击技术研究

无线通信常需要检测通信信号的调制类型,来分析估计调制参数,或发出干扰信号破坏对方通信系统。深度学习成为研究热点为调制信号识别带来了极大的便利,然而人工智能模型面临着来自对抗样本严重的威胁,这大大降低了深度机器学习任务执行的高可靠性度和安全性。针对电磁信号识别中的对抗攻击问题,使用Matlab生成数据集,并设计深度神经网络为问题研究的基础。进一步对对抗样本进行分析,结合信号理论,给出了通信信号对抗样本产生原因的分析,并研究经典的基于梯度生成的对抗样本生成算法,实现在不同攻击类型及迭代步长下的白盒攻击,可将原始模型识别率降低30%以上。仿真实验证明,卷积神经网络极易受到对抗攻击,对抗样本会对智能模型的辨识精度产生影响,对于深度学习模型的安全性与可靠性的研究具有重要价值。     

基于掩模提取的SAR图像对抗样本生成方法

合成孔径雷达（synthetic aperture radar,SAR）图像的对抗样本生成在当前已经有很多方法,但仍存在对抗样本扰动量较大、训练不稳定以及对抗样本的质量无法保证等问题。针对上述问题,提出了一种SAR图像对抗样本生成模型,该模型基于AdvGAN模型架构,首先根据SAR图像的特点设计了一种由增强Lee滤波器和最大类间方差法（OTSU）自适应阈值分割等模块组成的掩模提取模块,这种方法产生的扰动量更小,与原始样本的结构相似性（structural similarity,SSIM）值达到0.997以上。其次将改进的相对均值生成对抗网络（relativistic average generative adversarial network,RaGAN）损失引入AdvGAN中,使用相对均值判别器,让判别器在训练中同时依赖于真实数据和生成的数据,提高了训练的稳定性与攻击效果。在MSTAR数据集上与相关方法进行了实验对比,实验表明,此方法生成的SAR图像对抗样本在攻击防御模型时的攻击成功率较传统方法提高了10%～15%。     

基于生成对抗网络的多姿态人脸识别算法

头部姿态角转换会造成人脸成像多姿态变化,人脸离散数据的高斯分布混乱,无法准确地反映人脸多姿态的任意性和连续性,存在识别效果差的问题。引入生成对抗网络理论,设计多姿态人脸识别算法。对获取到的不同角度人脸图像,实施多姿态人脸校正与旋转残差注意力计算,解决当前头部姿态估计方法对不同人脸兴趣区域不稳健的问题。设计生成对抗网络进行双路循环优化,在生成的对抗网络中,参考CASIA-Net网络结构,使用深层次网络结构,每一层都有一个3*3的卷积核。所提出的设计可以降低网络参数,增强网络的非线性度,实现高效的面部特征提取,构建人脸多姿态识别模型,并完成人脸识别。通过实验结果表明,所提算法针对多姿态人脸识别效果好,在人脸不同姿态变化过程中,识别率始终在97%以上,更适用于多姿态人脸识别。     

二代证人脸识别的多姿态虚拟样本生成方法

使用第二代身份证照片作为训练样本进行人脸识别属于典型的单样本问题,由于没有充分数量的训练样本,会造成常规的人脸识别算法识别率低下。甚至无效的问题。为此采用虚拟样本生成方法,并针对遇到姿态变化较复杂的人脸时,识别率不高的问题,提出了一种新的多姿态的虚拟样本生成方法,通过模拟人脸侧向旋转、俯仰和立体旋转等增加有效的训练样本。再使用鲁棒性较好的HMM进行人脸识别。在自建的身份证人脸库上进行测试,实验结果显示．该方法在一定程度上减弱了人脸姿态的变化对识别率的影响,并取得了较好的识别效果。     

针对图像分类的鲁棒物理域对抗伪装

深度学习模型对对抗样本表现出脆弱性.作为一种对现实世界深度系统更具威胁性的攻击形式,物理域对抗样本近年来受到了广泛的研究关注.现有方法大多利用局部对抗贴片噪声在物理域实现对图像分类模型的攻击,然而二维贴片在三维空间的攻击效果将由于视角变化而不可避免地下降.为了解决这一问题,所提Adv-Camou方法利用空间组合变换来实时生成任意视角及变换背景的训练样本,并最小化预测类与目标类交叉熵损失,使模型输出指定错误类别.此外,所建立的仿真三维场景能公平且可重复地评估不同的攻击.实验结果表明,Adv-Camou生成的一体式对抗伪装可在全视角欺骗智能图像分类器,在三维仿真场景比多贴片拼接纹理平均有目标攻击成功率高出25%以上,对Clarifai商用分类系统黑盒有目标攻击成功率达42%,此外3D打印模型实验在现实世界平均攻击成功率约为66%,展现出先进的攻击性能.     

基于噪声融合的黑盒攻击优化方法

当前,基于迁移性的黑盒攻击通常使用较高的扰动系数生成具有较强可迁移性的对抗样本,导致对抗扰动较易被防御者察觉,因此提出了一种基于噪声融合的黑盒攻击优化方法来提高对抗样本的隐蔽性。该方法从常用的图像噪声中筛选出了最适用于优化对抗样本迁移性的噪声,并降低了对抗样本的黑盒攻击能力与扰动系数的耦合程度,即在不修改扰动系数的情况下增强了对抗样本的可迁移性。在Image Net数据集中的实验结果表明,通过噪声增强后的对抗攻击在黑盒攻击强度上有显著提升。此外,通过实验从高斯噪声、高斯白噪声、泊松噪声、椒盐噪声、乘性噪声和单形噪声中筛选出了最佳噪声,其能根据相同的扰动系数将待优化攻击算法的黑盒成功率平均提升12.64%。     

基于二阶对抗样本的对抗训练防御

深度神经网络(DNN)应用于图像识别具有很高的准确率,但容易遭到对抗样本的攻击。对抗训练是目前抵御对抗样本攻击的有效方法之一。生成更强大的对抗样本可以更好地解决对抗训练的内部最大化问题,是提高对抗训练有效性的关键。该文针对内部最大化问题,提出一种基于2阶对抗样本的对抗训练,在输入邻域内进行2次多项式逼近,生成更强的对抗样本,从理论上分析了2阶对抗样本的强度优于1阶对抗样本。在MNIST和CIFAR10数据集上的实验表明,2阶对抗样本具有更高的攻击成功率和隐蔽性。与PGD对抗训练相比,2阶对抗训练防御对当前典型的对抗样本均具有鲁棒性。     

A CMA-ES-Based Adversarial Attack Against Black-Box Object Detectors

Object detection is one of the essential tasks of computer vision. Object detectors based on the deep neural network have been used more and more widely in safe-sensitive applications, like face recognition, video surveillance, autonomous driving, and other tasks. It has been proved that object detectors are vulnerable to adversarial attacks. We propose a novel black-box attack method, which can successfully attack regression-based and region-based object detectors. We introduce methods to reduce search dimensions, reduce the dimension of optimization problems and reduce the number of queries by using the Covariance matrix adaptation Evolution strategy (CMA-ES) as the primary method to generate adversarial examples. Our method only adds adversarial perturbations in the object box to achieve a precise attack. Our proposed attack can hide the specified object with an attack success rate of 86％ and an average number of queries of 5, 124, and hide all objects with a success rate of 74％and an average number of queries of 6, 154. Our work illustrates the effectiveness of the CMA-ES method to generate adversarial examples and proves the vulnerability of the object detectors against the adversarial attacks.     

基于稀疏差分协同进化的多源遥感场景分类攻击

随着深度学习技术的迅猛发展,各种相似的骨干网络被用于多源遥感分类任务中,取得了很高的识别正确率。然而,由于神经网络极易受到对抗样本的攻击,这给遥感任务带来了很高的安全隐患。以往的对抗攻击方法可有效攻击单波段遥感图像的分类器,但不同波段的攻击并不耦合,这导致现有方法在现实世界中难以用于多源分类器的攻击。针对多源遥感的特性,本文提出了一种新的基于稀疏差分协同进化的对抗攻击方法:投放一定数量包含稀疏多源噪声信息的种子,通过限定噪声点在多源遥感中具有相同位置,实现多源对抗攻击的耦合,按种子信息制作对抗样本,利用上一代的种子（父代）进行变异与交叉,产生新的种子（子代）,同样制作对抗样本,综合比较多源对抗样本的攻击效果,保留效果更好的种子,重复此过程,最终可得到高度耦合且攻击效果最好的多源遥感对抗样本。实验证明了本文方法的可行性:在单点攻击下,61.38%的光学图像和38.93%的合成孔径图像被成功转化为对抗样本,光学和合成孔径分类器中都无法正确识别的区域从5.83%升至55.10%。      

调制识别中目标对抗攻击

由于深度学习算法具有特征表达能力强、特征自动提取以及端到端学习等突出优势,因此被越来越多的研究者应用至通信信号识别领域。然而,对抗样本的发现使得深度学习模型极大程度地暴露在潜在的风险因素中,并对当前的调制识别任务造成严重的影响。本文从攻击者的角度出发,通过对当前传输的通信信号添加对抗样本,以验证和评估目标对抗样本对调制识别模型的攻击性能。实验表明,当前的目标攻击可以有效地降低模型识别的精确度,所提出的logit指标可以更细粒度地用于衡量攻击的目标性效果。     

基于半监督学习生成对抗网络的人脸还原算法研究

基于大量训练样本生成高置信度图像的生成对抗网络研究已经取得一些成果,但是现有的研究只针对已知训练样本进行图像生成,而未将训练的参数用于训练样本之外的图像生成。该文设计了一种改进的生成对抗网络模型,在已有网络的基础上增加一个还原层,使得测试图像可以通过改进的对抗网络生成对应的高置信度图像。实验结果表明,改进的生成对抗网络参数可以应用到训练集之外的普通样本。同时本文改进了生成模型的损失算法,极大地缩短了网络的收敛时间。     

基于可视数据的可信身份识别和认证方法

近年来,深度学习技术在基于视频和图像等可视数据的身份识别和认证任务（如人脸、行人识别等）中得到了广泛应用。然而,机器学习（特别是深度学习模型）容易受到特定的对抗攻击干扰,从而误导身份识别系统做出错误的判断。因此,针对身份识别系统的可信认证技术研究逐渐成为当前的研究热点。分别从基于信息空间和物理空间的可视数据身份识别和认证攻击方法展开介绍,分析了针对人脸检测与识别系统、行人重识别系统的攻击技术及进展,以及基于人脸活体伪造和可打印对抗图案的物理空间攻击方法,进而讨论了可视数据身份匿名化和隐私保护技术。最后,在简要介绍现有研究中采用的数据库、实验设置与性能分析的基础上,探讨了可能的未来研究方向。     

基于粒子群优化的对抗样本生成算法

随着机器学习被广泛的应用,其安全脆弱性问题也突显出来。该文提出一种基于粒子群优化(PSO)的对抗样本生成算法,揭示支持向量机(SVM)可能存在的安全隐患。主要采用的攻击策略是篡改测试样本,生成对抗样本,达到欺骗SVM分类器,使其性能失效的目的。为此,结合SVM在高维特征空间的线性可分的特点,采用PSO方法寻找攻击显著性特征,再利用均分方法逆映射回原始输入空间,构建对抗样本。该方法充分利用了特征空间上线性模型上易寻优的特点,同时又利用了原始输入空间篡改数据的可解释性优点,使原本难解的优化问题得到实现。该文对2个公开数据集进行实验,实验结果表明,该方法通过不超过7%的小扰动量生成的对抗样本均能使SVM分类器失效,由此证明了SVM存在明显的安全脆弱性。     

无线通信中的智能识别神经网络对抗攻击技术综述

利用深度学习解决无线通信识别问题的研究越来越多。为了建立安全可靠的深度神经网络模型,有必要研究其对抗攻击技术。在介绍对抗样本概念和攻击算法的基础上,提出了无线通信智能识别神经网络的对抗攻击模型;对近年来无线通信中智能识别神经网络的对抗攻击方法进行了对比分析,给出了当前对抗攻击方法的局限性和后续研究重点;最后展望了未来的研究方向。     

基于遗传算法的恶意代码对抗样本生成方法

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。     

Learning discriminative and meaningful samples for generalized zero shot classification

Generalized zero shot classification aims to recognize both seen and unseen samples in test sets, which has gained great attention. Recently, many works consider using generative adversarial network to generate unseen samples for solving generalized zero shot classification problem. In this paper, we study how to generate discriminative and meaningful samples. We propose a method to learn discriminative and meaningful samples for generalized zero shot classification tasks (LDMS) by generative adversarial network with the regularization of class consistency and semantic consistency. In order to make the generated samples discriminative, class consistency is used, such that the generated samples of the same classes are near and of different classes are far away. In order to make the generated samples meaningful, semantic consistency is used, such that the semantic representations of the generated samples are close to their class prototypes. It encodes the discriminative information and semantic information to the generator. In order to alleviate the bias problem, we select some confident unseen samples. We use the seen samples, the generated unseen samples and the selected confident unseen samples to train the final classifier. Extensive experiments on all datasets demonstrate that the proposed method can outperform state-of-the-art models on generalized zero shot classification tasks.