共查询到17条相似文献,搜索用时 78 毫秒
1.
图神经网络在面对节点分类、链路预测、社区检测等与图数据处理相关的任务时,容易受到对抗性攻击的安全威胁。基于梯度的攻击方法具有有效性和高效性,被广泛应用于图神经网络对抗性攻击,高效利用攻击梯度信息与求取离散条件下的攻击梯度是攻击离散图数据的关键。提出基于改进投影梯度下降算法的投毒攻击方法。将模型训练参数看作与扰动相关的函数,而非固定的常数,在模型的对抗训练中考虑了扰动矩阵的影响,同时在更新攻击样本时研究模型对抗训练的作用,实现数据投毒与对抗训练两个阶段的结合。采用投影梯度下降算法对变量实施扰动,并将其转化为二进制,以高效利用攻击梯度信息,从而解决贪婪算法中时间开销随扰动比例线性增加的问题。实验结果表明,当扰动比例为5%时,相比Random、DICE、Min-max攻击方法,在Citeseer、Cora、Cora_ml和Polblogs数据集上图卷积网络模型被该方法攻击后的分类准确率分别平均降低3.27%、3.06%、3.54%、9.07%,在时间开销和攻击效果之间实现了最佳平衡。 相似文献
2.
大部分的链接预测模型在挖掘节点相似性时过于依赖已知的链接信息,但在真实世界中,已知的观测链接数量通常较少.因此,为了提高模型的鲁棒性,需要提高解耦模型对链接信息的依赖并挖掘节点的潜在特征.文中考虑节点特征和链接之间的潜在关系,提出基于对抗图卷积网络的链接预测模型.首先利用节点间的相似性度量填充邻接矩阵中部分未知链接,缓解链接稀疏对图卷积模型的影响.再利用对抗网络深度挖掘节点特征和链接之间的潜在联系,降低模型对链接的依赖.在真实数据集上的实验表明,文中模型在链接预测问题上具有较好的表现力,在链接稀疏的情况下性能依旧较稳定,同时适用于大规模数据集. 相似文献
3.
人脸识别技术的恶意运用可能会导致个人信息泄露, 对个人隐私安全构成巨大威胁, 通过通用对抗攻击保护人脸隐私具有重要的研究意义. 然而, 现有的通用对抗攻击算法多数专注于图像分类任务, 应用于人脸识别模型时, 常面临攻击成功率低和生成扰动明显等问题. 为解决这一挑战, 研究提出了一种基于共性梯度的人脸识别通用对抗攻击方法. 该方法通过多张人脸图像的对抗扰动的共性梯度优化通用对抗扰动, 并利用主导型特征损失提升扰动的攻击能力, 结合多阶段训练策略, 实现了攻击效果与视觉质量的均衡. 在公开数据集上的实验证明, 该方法在人脸识别模型上的攻击性能优于Cos-UAP、SGA等方法, 并且生成的对抗样本具有更好的视觉效果, 表明了所提方法的有效性. 相似文献
4.
近年来,利用静息态功能磁共振成像的脑功能网络分析已被广泛应用于各类脑疾病的计算机辅助诊断任务中。结合临床表型测量与脑功能网络构建的图卷积神经网络框架,提高了智能医学疾病诊断模型对现实世界的适用性。但是,基于脑功能网络的疾病诊断模型的可信度研究是一个重要但仍被广泛忽视的部分。对抗攻击技术在医疗机器学习中对模型的“欺骗”进一步引发了模型应用于临床实际中的安全与信任问题。基于此,在这项工作中,首次提出了一种面向脑疾病诊断的图卷积网络对抗攻击方法BFGCNattack,结合临床表型测量构建了疾病诊断模型,探索评估了智能诊断模型在面临对抗攻击时的鲁棒性。在自闭症脑成像数据集上的实验结果表明,使用图卷积网络构建的诊断模型在面临提出的对抗攻击时是脆弱的,即使只执行少量(10%)的扰动,模型的准确率和分类裕度均显著下降,同时愚弄率也显著提高。 相似文献
5.
图神经网络(GNN)容易受到对抗性攻击而导致性能下降,影响节点分类、链路预测和社区检测等下游任务,因此GNN的防御方法具有重要研究价值。针对GNN在面对对抗性攻击时鲁棒性差的问题,以图卷积网络(GCN)为模型,提出一种改进的基于奇异值分解(SVD)的投毒攻击防御方法 ISVDatt。在投毒攻击场景下,该方法可对扰动图进行净化处理。GCN遭受投毒攻击后,首先筛选并删除特征差异较大的连边使图保持特征光滑性;然后进行SVD和低秩近似操作使扰动图保持低秩性,并完成对它的净化处理;最后将净化后的扰动图用于GCN模型训练,从而实现对投毒攻击的有效防御。在开源的Citeseer、Cora和Pubmed数据集上针对Metattack和DICE(Delete Internally,Connect Externally)攻击进行实验,并与基于SVD、Pro_GNN和鲁棒图卷积网络(RGCN)的防御方法进行了对比,结果显示ISVDatt的防御效果相对较优,虽然分类准确率比Pro_GNN低,但复杂度低,时间开销可以忽略不计。实验结果表明ISVDatt能有效抵御投毒攻击,兼顾算法的复杂度和通用性,具有较高的实用... 相似文献
6.
邻域的组成对于基于空间域的图卷积网络(GCN)模型有至关重要的作用。针对模型中节点邻域排序未考虑结构影响力的问题,提出了一种新的邻域选择策略,从而得到改进的GCN模型。首先,为每个节点收集结构重要的邻域并进行层级选择得到核心邻域;然后,将节点及其核心邻域的特征组成有序的矩阵形式;最后,送入深度卷积神经网络(CNN)进行半监督学习。节点分类任务的实验结果表明,该模型在Cora、Citeseer和Pubmed引文网络数据集中的节点分类准确性均优于基于经典图嵌入的节点分类模型以及四种先进的GCN模型。作为一种基于空间域的GCN,该模型能有效运用于大规模网络的学习任务。 相似文献
7.
图神经网络在半监督节点分类任务中取得了显著的性能. 研究表明, 图神经网络容易受到干扰, 因此目前已有研究涉及图神经网络的对抗鲁棒性. 然而, 基于梯度的攻击不能保证最优的扰动. 提出了一种基于梯度和结构的对抗性攻击方法, 增强了基于梯度的扰动. 该方法首先利用训练损失的一阶优化生成候选扰动集, 然后对候选集进行相似性评估, 根据评估结果排序并选择固定预算的修改以实现攻击. 通过在5个数据集上进行半监督节点分类任务来评估所提出的攻击方法. 实验结果表明, 在仅执行少量扰动的情况下, 节点分类精度显著下降, 明显优于现有攻击方法. 相似文献
8.
近来对图卷积神经网络(GCNs)的研究及其应用日益成熟,虽然它的性能已经达到很高的水准,但GCNs在受到对抗攻击时模型鲁棒性较差。现有的防御方法大都基于启发式经验算法,没有考虑GCNs结构脆弱的原因。最近,已有研究表明GCNs脆弱的原因是非鲁棒的聚合函数。本文从崩溃点和影响函数抗差性角度出发,分析平尾均值函数和均值聚合函数二者的鲁棒性。平尾均值相较于均值函数,其崩溃点更高。平尾均值的影响函数跳跃有界,可抵抗异常值;而均值函数的影响函数无界,对异常值十分敏感。随后在GCNs框架的基础上,通过将图卷积算子中的聚合函数更换为更为鲁棒的平尾均值,提出一种改进的鲁棒防御方法WinsorisedGCN。最后采用Nettack对抗攻击方法研究分析所提出的模型在不同扰动代价下的鲁棒性,通过准确率和分类裕度评价指标对模型性能进行评估。实验结果表明,所提出的防御方案相较于其他基准模型,能够在保证模型准确率的前提下,有效提高模型在对抗攻击下的鲁棒性。 相似文献
9.
图卷积神经网络可以通过图卷积提取图数据的有效信息,但容易受到对抗攻击的影响导致模型性能下降。对抗训练能够用于提升神经网络鲁棒性,但由于图的结构及节点特征通常是离散的,无法直接基于梯度构造对抗扰动,而在模型的嵌入空间中提取图数据的特征作为对抗训练的样本,能够降低构造复杂度。借鉴集成学习思想,提出一种基于非鲁棒特征的图卷积神经网络对抗训练方法VDERG,分别针对拓扑结构和节点属性两类特征,构建两个图卷积神经网络子模型,通过嵌入空间提取非鲁棒特征,并基于非鲁棒特征完成对抗训练,最后集成两个子模型输出的嵌入向量作为模型节点表示。实验结果表明,提出的对抗训练方法在干净数据上的准确率平均提升了0.8%,在对抗攻击下最多提升了6.91%的准确率。 相似文献
10.
11.
目前,卷积神经网络在语音识别、图像分类、自然语言处理、语义分割等方面都取得了良好的应用成果,是计算机应用研究最广泛的技术之一。但研究人员发现当向输入中加入特定的微小扰动时,卷积神经网络(CNN)模型容易产生错误的预测结果,这类含有微小扰动的图像被称为对抗样本,CNN模型易受对抗样本的攻击。对抗样本的出现可能会对安全敏感的领域带来潜在的应用威胁。已有较多的防御方法被提出,其中许多方法对特定攻击方法具有较好的防御效果,但由于实际应用中无法知晓攻击者采用的攻击方式,因此提出不依赖攻击方法的通用防御策略是一个值得研究的问题。为有效地防御各类对抗攻击,本文提出了基于局部邻域滤波的对抗攻击检测方法。首先,通过像素间的相关性对图像进行RGB空间切割。其次将相似的图像块组成立方体。然后,基于立方体中邻域的局部滤波进行去噪,即:通过邻域立方体的3个块得到邻域数据的3维标准差,用于Wiener滤波。再将滤波后的块组映射回RGB彩色空间。最后,将未知样本和它的滤波样本分别作为输入,对模型的分类进行一致性检验,如果模型对他们的分类不相同,则该未知样本为对抗样本,否则为良性样本。实验表明本文检测方法在不同模型中... 相似文献
12.
基于生成式对抗网络的通用性对抗扰动生成方法 总被引:1,自引:0,他引:1
深度神经网络在图像分类应用中具有很高的准确率,然而,当在原始图像中添加微小的对抗扰动后,深度神经网络的分类准确率会显著下降。研究表明,对于一个分类器和数据集存在一种通用性对抗扰动,其可对大部分原始图像产生攻击效果。文章设计了一种通过生成式对抗网络来制作通用性对抗扰动的方法。通过生成式对抗网络的训练,生成器可制作出通用性对抗扰动,将该扰动添加到原始图像中制作对抗样本,从而达到攻击的目的。文章在CIFAR-10数据集上进行了无目标攻击、目标攻击和迁移性攻击实验。实验表明,生成式对抗网络生成的通用性对抗扰动可在较低范数约束下达到89%的攻击成功率,且利用训练后的生成器可在短时间内制作出大量的对抗样本,利于深度神经网络的鲁棒性研究。 相似文献
13.
卷积神经网络的发展使得图像验证码已经不再安全。基于卷积神经网络中存在的通用对抗扰动,提出了一种图像验证码的保护方法。提出了一种快速生成通用对抗扰动的算法,将方向相似的对抗扰动向量进行叠加以加快生成通用对抗扰动的速度。基于此算法设计了图像验证码的保护方案,将通用对抗扰动加入到验证码的图像中使其无法被卷积神经网络模型识别。在ImageNet数据集上进行的仿真实验结果表明,该方案比现有工作DeepCAPTCHA具有更低的破解率,能有效保护图像验证码不被主流的卷积神经网络模型破解。 相似文献
14.
15.
深度神经网络拥有出色的特征提取能力,这使它们能够从人类难以察觉和理解的样本中提取和学习特征。这种能力一直是深度神经网络快速发展和广泛部署的推动力,近年来它们在医疗成像、自动驾驶、遥感观测和人脸识别等多个领域都有出色表现。然而,这种强大的特征提取能力也带来了一些潜在的安全风险。研究人员发现,深度神经网络模型很容易受到对抗样本的影响,即使少量精心设计的扰动也会导致模型产生错误的结果。为了探索深度神经网络的安全威胁和模型的鲁棒性,对抗攻击研究成为一项重要工作。在这项研究中,本文提出了一种基于贝叶斯优化的瞬间激光物理对抗攻击方法,利用有效曝光时间和激光的快速性在合适的时机发起真正不引起人眼察觉的瞬间攻击,检验了激光对抗攻击在数字域和物理域的有效性,并探讨了这种攻击方法在自动驾驶场景下可能产生的威胁。此外,在物理实验中验证了瞬间攻击的存在性并对其进行了分析,验证了针对自动驾驶系统的激光攻击存在合适的攻击窗口。 相似文献
16.
深度神经网络在目标检测领域有大量的应用已经落地,然而由于深度神经网络本身存在不可解释性等技术上的不足,导致其容易受到外界的干扰而失效,充分研究对抗攻击方法有助于挖掘深度神经网络易失效的原因以提升其鲁棒性;目前大多数对抗攻击方法都需要使用模型的梯度信息或模型输出的置信度信息,而工业界应用的目标检测器通常不会完全公开其内部信息和置信度信息,导致现有的白盒攻击方法不再适用;为了提升工业目标检测器的鲁棒性,提出一种基于决策的目标检测器黑盒对抗攻击方法,其特点是不需要使用模型的梯度信息和置信度信息,仅利用目标检测器输出的检测框位置信息,策略是从使目标检测器定位错误的角度进行攻击,通过沿着对抗边界进行迭代搜索的方法寻找最优对抗样本从而实现高效的攻击;实验结果表明所提出的方法使典型目标检测器Faster R-CNN在VOC2012数据集上的mAR从0.636降低到0.131,mAP从0.801降低到0.071,有效降低了目标检测器的检测能力,成功实现了针对目标检测器的黑盒攻击。 相似文献
17.
深度神经网络在许多领域中取得了显著的成果, 但相关研究结果表明, 深度神经网络很容易受到对抗样本的影响. 基于梯度的攻击是一种流行的对抗攻击, 引起了人们的广泛关注. 研究基于梯度的对抗攻击与常微分方程数值解法之间的关系, 并提出一种新的基于常微分方程数值解法-龙格库塔法的对抗攻击方法. 根据龙格库塔法中的预测思想, 首先在原始样本中添加扰动构建预测样本, 然后将损失函数对于原始输入样本和预测样本的梯度信息进行线性组合, 以确定生成对抗样本中需要添加的扰动. 不同于已有的方法, 所提出的方法借助于龙格库塔法中的预测思想来获取未来的梯度信息(即损失函数对于预测样本的梯度), 并将其用于确定所要添加的对抗扰动. 该对抗攻击具有良好的可扩展性, 可以非常容易地集成到现有的所有基于梯度的攻击方法. 大量的实验结果表明, 相比于现有的先进方法, 所提出的方法可以达到更高的攻击成功率和更好的迁移性. 相似文献