基于噪声初始化、Adam-Nesterov方法和准双曲动量方法的对抗样本生成方法

深度神经网络在多种模式识别任务上都取得了巨大突破,但相关研究表明深度神经网络存在脆弱性,容易被精心设计的对抗样本攻击.本文以分类任务为着手点,研究对抗样本的迁移性,提出基于噪声初始化、Adam-Nesterov方法和准双曲动量方法的对抗样本生成方法.本文提出一种对抗噪声的初始化方法,通过像素偏移方法来预先增强干净样本的...     

基于单词替换的文本对抗样本攻击

生成质量良好的文本对抗样本对研究模型的鲁棒性有着重要意义。现有的单词级的攻击方法搜索到的替换词往往不够有效,对抗样本的质量也就难以达到理想水平。因此在现有的单词替换的方法下,利用知网(CNKI)搜索更高质量的替换词,产生更佳的扰动。实验结果表明,该方法提高了样本的攻击成功率,更贴近原始输入样本。     

基于深度神经网络的对抗样本生成算法及其应用研究综述

随着深度学习理论的迅速发展,基于深度神经网络的各项技术得到了广泛的应用,并且在众多应用领域取得了出乎意料的实践效果。然而,近年来大量研究发现,深度神经网络普遍存在天然缺陷,容易受到对抗样本的威胁,严重影响模型使用的安全性,因此对该领域的研究已经成为深度学习相关领域的热门研究方向。研究对抗样本有利于暴露模型存在的问题进而加以防范,对其应用的挖掘有利于为隐私保护等研究提供新思路。为此首先介绍了对抗样本研究领域中的重要概念和术语,然后按照时间从产生机理的角度梳理该领域研究中的基础算法及后续衍生的进阶算法,接着展示了近年来对抗样本所涉及的具体领域及其应用,最后对该领域进一步的研究方向和应用场景进行了展望。     

面向人脸验证的可迁移对抗样本生成方法

在人脸识别模型的人脸验证任务中,传统的对抗攻击方法无法快速生成真实自然的对抗样本,且对单模型的白盒攻击迁移到其他人脸识别模型上时攻击效果欠佳。该文提出一种基于生成对抗网络的可迁移对抗样本生成方法TAdvFace。TAdvFace采用注意力生成器提高面部特征的提取能力,利用高斯滤波操作提高对抗样本的平滑度,并用自动调整策略调节身份判别损失权重,能够根据不同的人脸图像快速地生成高质量可迁移的对抗样本。实验结果表明,TAdvFace通过单模型的白盒训练,生成的对抗样本能够在多种人脸识别模型和商业API模型上都取得较好的攻击效果,拥有较好的迁移性。     

面向深度学习模型的对抗攻击与防御综述

在大数据时代背景下,深度学习技术得到了快速发展,成功应用于数据挖掘、自然语言处理和计算机视觉等领域。研究表明,深度学习的抗干扰性能并不是很好,因此出现了对抗攻击与对抗防御生成技术,即对于干净样本输入添加肉眼所不能察觉的扰动,导致深度学习模型出现识别错误和分类错误的问题。主要介绍对抗攻击与对抗防御的概念、生成原理,在此基础上分析了对抗攻击及对抗防御的主要方法,通过分析提出了对未来研究前景的预测。     

无线通信中的智能识别神经网络对抗攻击技术综述

利用深度学习解决无线通信识别问题的研究越来越多。为了建立安全可靠的深度神经网络模型,有必要研究其对抗攻击技术。在介绍对抗样本概念和攻击算法的基础上,提出了无线通信智能识别神经网络的对抗攻击模型;对近年来无线通信中智能识别神经网络的对抗攻击方法进行了对比分析,给出了当前对抗攻击方法的局限性和后续研究重点;最后展望了未来的研究方向。     

电磁信号对抗样本攻击与防御发展研究

以深度学习为代表的智能化技术在提升电磁频谱控制与利用系统性能水平的同时,也暴露出其脆弱性,催生出一批以对抗样本为代表的智能电磁攻防技术。随着智能化的快速应用和发展,该领域势必成为电磁频谱竞争的又一个“制高点”。首次尝试着明确了电磁对抗样本攻防的概念内涵,为规范后续的关键技术研究和具体应用提供参考。分析了智能模型脆弱性机理,认为智能模型脆弱性与可解释性存在一定的关系,将专家知识嵌入到模型学习中是下一步改善模型鲁棒性的研究方向。系统梳理了电磁信号对抗样本攻击和对抗样本防御的研究脉络,总结了通用对抗样本领域的共性研究规律,可以直接为电磁信号对抗样本研究提供借鉴。通过总结电磁信号对抗样本的研究规律,提炼出电磁信号对抗样本特有的问题。在此基础上,结合团队近年在该领域的研究积累,提出下一步的发展趋势,对抗攻击下一步的研究趋势是适应跨模型、跨任务的场景,应更加注重领域知识的应用,目标是要对抗多源综合的传感器体系;对抗防御的研究趋势是寻找鲁棒性与泛化性的权衡,通过利用信号处理知识优化处理流程,提高模型的对抗防御性能。同时关注鲁棒性评估,这可能是下一代智能化系统可靠性评估的关键技术之一。     

基于雅可比显著图的电磁信号快速对抗攻击方法

为了生成高质量的电磁信号对抗样本,提出了快速雅可比显著图攻击（FJSMA）方法。FJSMA通过计算攻击目标类别的雅可比矩阵,并根据该矩阵生成特征显著图,之后迭代选取显著性最强的特征点及其邻域内连续特征点添加扰动,同时引入单点扰动限制,最后生成对抗样本。实验结果表明,与雅可比显著图攻击方法相比,FJSMA在保持与之相同的高攻击成功率的同时,生成速度提升了约10倍,相似度提升了超过11%;与其他基于梯度的方法相比,攻击成功率提升了超过20%,相似度提升了20%～30%。     

面向机器学习模型的基于PCA的成员推理攻击

针对目前黑盒成员推理攻击存在的访问受限失效问题,提出基于主成分分析(PCA)的成员推理攻击.首先,针对黑盒成员推理攻击存在的访问受限问题,提出一种快速决策成员推理攻击fast-attack.在基于距离符号梯度获取扰动样本的基础上将扰动难度映射到距离范畴来进行成员推理.其次,针对快速决策成员推理攻击存在的低迁移率问题,提...     

基于增强攻击树的复杂攻击分析与防御

随着攻击技术的发展,网络攻击日趋复杂。文章对复杂攻击进行了分析,在传统攻击树的基础上研究了增强攻击树的概念,并基于增强攻击树以DOS攻击为例对复杂攻击进行了建模研究,最后提出了一种针对复杂攻击的防御模型。     

基于生成对抗网络的舰船辐射噪声分类方法研究

基于机器学习的舰船目标识别近年来已成为水声信号处理领域的一个重要研究方向,但水声目标信号的获取困难,样本量不足和不均衡的问题很容易导致目标分类模型的识别效果不佳。该文提出一种基于条件卷积生成对抗网络的船舶噪声数据分类方法,该方法利用生成对抗学习理论,生成相比于传统数据增强算法非线性特征更强,特征差异更丰富的伪DEMON调制谱数据来缓解训练样本量不足的问题。之后将传统生成对抗网络中的全连层输出替换成更善于解决小样本问题集成分类器,从而降低分类器对于数据量的依赖程度,进一步提高分类模型性能。最终由基于真实样本的实验结果表明,相比于传统数据增强算法和卷积生成对抗网络,该文方法能够更有效提高在样本不足条件下的模型的分类性能。     

面向目标检测的对抗攻击与防御综述

针对近年来目标检测对抗攻防领域的研究发展,首先介绍了目标检测及对抗学习的相关术语和概念。其次,按照方法的演进过程,全面回顾并梳理了目标检测中对抗攻击和防御方法的研究成果,特别地,根据攻击者知识及深度学习生命周期,对攻击方法和防御策略进行了分类,并对不同方法之间的特点和联系进行了深入分析和讨论。最后,鉴于现有研究的优势和不足,总结了目标检测中对抗攻防研究面临的挑战和有待进一步探索的方向。     

结合自适应步长策略和数据增强机制提升对抗攻击迁移性

深度神经网络具有脆弱性,容易被精心设计的对抗样本攻击.梯度攻击方法在白盒模型上攻击成功率较高,但在黑盒模型上的迁移性较弱.基于Heavy-ball型动量和Nesterov型动量的梯度攻击方法由于在更新方向上考虑了历史梯度信息,提升了对抗样本的迁移性.为了进一步使用历史梯度信息,本文针对收敛性更好的Nesterov型动量方法,使用自适应步长策略代替目前广泛使用的固定步长,提出了一种方向和步长均使用历史梯度信息的迭代快速梯度方法（Nesterov and Adaptive-learning-rate based Iterative Fast Gradient Method,NAI-FGM）.此外,本文还提出了一种线性变换不变性（Linear-transformation Invariant Method,LIM）的数据增强方法 .实验结果证实了NAI-FGM攻击方法和LIM数据增强策略相对于同类型方法均具有更高的黑盒攻击成功率.组合NAI-FGM方法和LIM策略生成对抗样本,在常规训练模型上的平均黑盒攻击成功率达到87.8%,在对抗训练模型上的平均黑盒攻击成功率达到57.5%,在防御模型上...     

基于场景的信息系统黑盒测试方法

针对管理信息系统中业务流程复杂,功能点多,场景复杂等特点,研究基于场景的信息系统黑盒测试方法,通过对系统的业务流进行分析,利用场景测试方法对待测系统进行场景分析和业务流程分析选择,确立管理信息系统集成测试和系统测试的用例设计方向,形成性价比高、覆盖全面的测试用例,最终从根本上降低测试成本,提高测试效率,为管理信息系统(MIS)的质量提供保障。     

基于掩模提取的SAR图像对抗样本生成方法

合成孔径雷达（synthetic aperture radar,SAR）图像的对抗样本生成在当前已经有很多方法,但仍存在对抗样本扰动量较大、训练不稳定以及对抗样本的质量无法保证等问题。针对上述问题,提出了一种SAR图像对抗样本生成模型,该模型基于AdvGAN模型架构,首先根据SAR图像的特点设计了一种由增强Lee滤波器和最大类间方差法（OTSU）自适应阈值分割等模块组成的掩模提取模块,这种方法产生的扰动量更小,与原始样本的结构相似性（structural similarity,SSIM）值达到0.997以上。其次将改进的相对均值生成对抗网络（relativistic average generative adversarial network,RaGAN）损失引入AdvGAN中,使用相对均值判别器,让判别器在训练中同时依赖于真实数据和生成的数据,提高了训练的稳定性与攻击效果。在MSTAR数据集上与相关方法进行了实验对比,实验表明,此方法生成的SAR图像对抗样本在攻击防御模型时的攻击成功率较传统方法提高了10%～15%。     

基于机器学习模型的黑盒测试方法

机器学习技术的广泛应用引发了人们对机器学习模型可信度的关注,而黑盒测试技术已被证明是揭示软件潜在问题的有效手段,如何利用黑盒测试技术分析和评估机器学习模型的质量和可信度是文章关注的重点。文章重点讨论机器学习模型及其黑盒测试的理论和方法,包括机器学习模型相关概念、机器学习模型测试重难点以及如何开展机器学习模型的黑盒测试,旨在为机器学习模型的性能评估和质量保证提供具有可行性、通用性和实践性的评测过程和方法。     

基于动量增强特征图的对抗防御算法

深度神经网络(DNN)因其优异的性能而被广泛应用,但易受对抗样本攻击的问题使其面临巨大的安全风险。通过对DNN的卷积过程进行可视化,发现随着卷积层数加深,对抗攻击对原始输入产生的扰动愈加明显。基于这一发现,采用动量法中前向结果修正后向结果的思想,该文提出一种基于动量增强特征图的防御算法(MEF)。MEF算法在DNN的卷积层上部署特征增强层构成特征增强块(FEB),FEB会结合原始输入以及浅层卷积层的特征图生成特征增强图,进而利用特征增强图来增强深层的特征图。同时,为了保证每层特征增强图的有效性,增强后的特征图还会对特征增强图进行进一步更新。为验证MEF算法的有效性,使用多种白盒与黑盒攻击对部署MEF算法的DNN模型进行攻击实验,结果表明在投影梯度下降法(PGD)以及快速梯度符号法(FGSM)的攻击实验中,MEF算法对对抗样本的识别精度比对抗训练(AT)高出3%～5%,且对干净样本的识别精度也有所提升。此外,使用比训练时更强的对抗攻击方法进行测试时,与目前先进的噪声注入算法(PNI)以及特征扰动算法(L2P)相比,MEF算法表现出更强的鲁棒性。     

基于黑盒测试技术的有线电视收视用户标签化系统测试方法研究

本文介绍了黑盒测试原理,并基于黑盒测试技术,对有线电视收视用户标签化系统进行了测试用例的设计与执行。