共查询到20条相似文献,搜索用时 250 毫秒
1.
当前,基于迁移性的黑盒攻击通常使用较高的扰动系数生成具有较强可迁移性的对抗样本,导致对抗扰动较易被防御者察觉,因此提出了一种基于噪声融合的黑盒攻击优化方法来提高对抗样本的隐蔽性。该方法从常用的图像噪声中筛选出了最适用于优化对抗样本迁移性的噪声,并降低了对抗样本的黑盒攻击能力与扰动系数的耦合程度,即在不修改扰动系数的情况下增强了对抗样本的可迁移性。在Image Net数据集中的实验结果表明,通过噪声增强后的对抗攻击在黑盒攻击强度上有显著提升。此外,通过实验从高斯噪声、高斯白噪声、泊松噪声、椒盐噪声、乘性噪声和单形噪声中筛选出了最佳噪声,其能根据相同的扰动系数将待优化攻击算法的黑盒成功率平均提升12.64%。 相似文献
2.
为了适应纵向联邦学习应用中高通信成本、快速模型迭代和数据分散式存储的场景特点,提出了一种通用的纵向联邦学习对抗样本生成算法VFL-GASG。具体而言,构建了一种适用于纵向联邦学习架构的对抗样本生成框架来实现白盒对抗攻击,并在该架构下扩展实现了L-BFGS、FGSM、C&W等不同策略的集中式机器学习对抗样本生成算法。借鉴深度卷积生成对抗网络的反卷积层设计,设计了一种对抗样本生成算法VFL-GASG以解决推理阶段对抗性扰动生成的通用性问题,该算法以本地特征的隐层向量作为先验知识训练生成模型,经由反卷积网络层产生精细的对抗性扰动,并通过判别器和扰动项控制扰动幅度。实验表明,相较于基线算法,所提算法在保持高攻击成功率的同时,在生成效率、鲁棒性和泛化能力上均达到较高水平,并通过实验验证了不同实验设置对对抗攻击效果的影响。 相似文献
3.
合成孔径雷达(synthetic aperture radar,SAR)图像的对抗样本生成在当前已经有很多方法,但仍存在对抗样本扰动量较大、训练不稳定以及对抗样本的质量无法保证等问题。针对上述问题,提出了一种SAR图像对抗样本生成模型,该模型基于AdvGAN模型架构,首先根据SAR图像的特点设计了一种由增强Lee滤波器和最大类间方差法(OTSU)自适应阈值分割等模块组成的掩模提取模块,这种方法产生的扰动量更小,与原始样本的结构相似性(structural similarity,SSIM)值达到0.997以上。其次将改进的相对均值生成对抗网络(relativistic average generative adversarial network,RaGAN)损失引入AdvGAN中,使用相对均值判别器,让判别器在训练中同时依赖于真实数据和生成的数据,提高了训练的稳定性与攻击效果。在MSTAR数据集上与相关方法进行了实验对比,实验表明,此方法生成的SAR图像对抗样本在攻击防御模型时的攻击成功率较传统方法提高了10%~15%。 相似文献
4.
随着机器学习被广泛的应用,其安全脆弱性问题也突显出来。该文提出一种基于粒子群优化(PSO)的对抗样本生成算法,揭示支持向量机(SVM)可能存在的安全隐患。主要采用的攻击策略是篡改测试样本,生成对抗样本,达到欺骗SVM分类器,使其性能失效的目的。为此,结合SVM在高维特征空间的线性可分的特点,采用PSO方法寻找攻击显著性特征,再利用均分方法逆映射回原始输入空间,构建对抗样本。该方法充分利用了特征空间上线性模型上易寻优的特点,同时又利用了原始输入空间篡改数据的可解释性优点,使原本难解的优化问题得到实现。该文对2个公开数据集进行实验,实验结果表明,该方法通过不超过7%的小扰动量生成的对抗样本均能使SVM分类器失效,由此证明了SVM存在明显的安全脆弱性。 相似文献
5.
虽然深度神经网络可以有效改善环境声音分类(ESC)性能,但对对抗样本攻击依然具有脆弱性。已有对抗防御方法通常只对特定攻击有效,无法适应白盒、黑盒等不同攻击场景。为提高ESC模型在各种场景下对各种攻击的防御能力,该文提出一种结合对抗检测、对抗训练和判别性特征学习的ESC组合对抗防御方法。该方法使用对抗样本检测器(AED)对输入ESC模型的样本进行检测,基于生成对抗网络(GAN)同时对AED和ESC模型进行对抗训练,其中,AED作为GAN的判别器使用。同时,该方法将判别性损失函数引入ESC模型的对抗训练中,以驱使模型学习到的样本特征类内更加紧凑、类间更加远离,进一步提升模型的对抗鲁棒性。在两个典型ESC数据集,以及白盒、自适应白盒、黑盒攻击设置下,针对多种模型开展了防御对比实验。实验结果表明,该方法基于GAN实现多种防御方法的组合,可以有效提升ESC模型防御对抗样本攻击的能力,对应的ESC准确率比其他方法对应的ESC准确率提升超过10%。同时,实验验证了所提方法的有效性不是由混淆梯度引起的。 相似文献
6.
生成质量良好的文本对抗样本对研究模型的鲁棒性有着重要意义。现有的单词级的攻击方法搜索到的替换词往往不够有效,对抗样本的质量也就难以达到理想水平。因此在现有的单词替换的方法下,利用知网(CNKI)搜索更高质量的替换词,产生更佳的扰动。实验结果表明,该方法提高了样本的攻击成功率,更贴近原始输入样本。 相似文献
7.
深度神经网络具有脆弱性,容易被精心设计的对抗样本攻击.梯度攻击方法在白盒模型上攻击成功率较高,但在黑盒模型上的迁移性较弱.基于Heavy-ball型动量和Nesterov型动量的梯度攻击方法由于在更新方向上考虑了历史梯度信息,提升了对抗样本的迁移性.为了进一步使用历史梯度信息,本文针对收敛性更好的Nesterov型动量方法,使用自适应步长策略代替目前广泛使用的固定步长,提出了一种方向和步长均使用历史梯度信息的迭代快速梯度方法(Nesterov and Adaptive-learning-rate based Iterative Fast Gradient Method,NAI-FGM).此外,本文还提出了一种线性变换不变性(Linear-transformation Invariant Method,LIM)的数据增强方法 .实验结果证实了NAI-FGM攻击方法和LIM数据增强策略相对于同类型方法均具有更高的黑盒攻击成功率.组合NAI-FGM方法和LIM策略生成对抗样本,在常规训练模型上的平均黑盒攻击成功率达到87.8%,在对抗训练模型上的平均黑盒攻击成功率达到57.5%,在防御模型上... 相似文献
8.
深度神经网络(DNN)应用于图像识别具有很高的准确率,但容易遭到对抗样本的攻击.对抗训练是目前抵御对抗样本攻击的有效方法之一.生成更强大的对抗样本可以更好地解决对抗训练的内部最大化问题,是提高对抗训练有效性的关键.该文针对内部最大化问题,提出一种基于2阶对抗样本的对抗训练,在输入邻域内进行2次多项式逼近,生成更强的对抗样本,从理论上分析了2阶对抗样本的强度优于1阶对抗样本.在MNIST和CI-FAR10数据集上的实验表明,2阶对抗样本具有更高的攻击成功率和隐蔽性.与PGD对抗训练相比,2阶对抗训练防御对当前典型的对抗样本均具有鲁棒性. 相似文献
9.
基于二阶对抗样本的对抗训练防御 总被引:1,自引:0,他引:1
深度神经网络(DNN)应用于图像识别具有很高的准确率,但容易遭到对抗样本的攻击。对抗训练是目前抵御对抗样本攻击的有效方法之一。生成更强大的对抗样本可以更好地解决对抗训练的内部最大化问题,是提高对抗训练有效性的关键。该文针对内部最大化问题,提出一种基于2阶对抗样本的对抗训练,在输入邻域内进行2次多项式逼近,生成更强的对抗样本,从理论上分析了2阶对抗样本的强度优于1阶对抗样本。在MNIST和CIFAR10数据集上的实验表明,2阶对抗样本具有更高的攻击成功率和隐蔽性。与PGD对抗训练相比,2阶对抗训练防御对当前典型的对抗样本均具有鲁棒性。 相似文献
10.
面向人脸验证的可迁移对抗样本生成方法 总被引:1,自引:0,他引:1
在人脸识别模型的人脸验证任务中,传统的对抗攻击方法无法快速生成真实自然的对抗样本,且对单模型的白盒攻击迁移到其他人脸识别模型上时攻击效果欠佳。该文提出一种基于生成对抗网络的可迁移对抗样本生成方法TAdvFace。TAdvFace采用注意力生成器提高面部特征的提取能力,利用高斯滤波操作提高对抗样本的平滑度,并用自动调整策略调节身份判别损失权重,能够根据不同的人脸图像快速地生成高质量可迁移的对抗样本。实验结果表明,TAdvFace通过单模型的白盒训练,生成的对抗样本能够在多种人脸识别模型和商业API模型上都取得较好的攻击效果,拥有较好的迁移性。 相似文献
11.
针对现有面向目标检测的白盒攻击方法在不可察觉性上的不足,从扰动生成过程与扰动成本的限制两方面,提出一种隐蔽式对抗扰动生成方法(stealthy adversarial perturbation generation, SPG)。该方法首先利用图像的纹理信息,赋予扰动在难以被人眼察觉的高纹理区域更高的权重,然后采用扰动位置选取策略降低修改的像素点数目,最后进行对抗扰动的解耦计算,自适应地搜索具有最佳L2范数度量的对抗扰动。所提方法以4种主流目标检测器作为攻击对象,在COCO-MS 2014和PASCAL-VOC数据集上与对比方法进行了评估。实验结果表明,本文攻击方法的不可察觉性的度量值优于对比方法,其生成的对抗扰动具有低于0.239的L0范数和2.9×10-5以内的L2范数,同时使得目录检测器的mAP降低至9%以下。 相似文献
12.
图神经网络(GNN)容易受到对抗攻击安全威胁。现有研究未注意到图神经网络对抗攻击与统计学经典分支统计诊断之间的联系。该文分析了二者理论本质的一致性,将统计诊断的重要成果局部影响分析模型引入图神经网络对抗攻击。首先建立局部影响分析模型,提出并证明针对图神经网络攻击的扰动筛选公式,得出该式的物理意义为扰动对模型训练参数影响的度量。其次为降低计算复杂度,根据扰动筛选公式的物理意义得出扰动筛选近似公式。最后引入投影梯度下降算法实施扰动筛选。实验结果表明,将局部影响分析模型引入图神经网络对抗攻击领域具有合理性;与现有攻击方法相比,所提方法具有有效性。 相似文献
13.
针对现有的后门攻击防御方法难以处理非规则的非结构化的离散的图数据的问题,为了缓解图神经网络后门攻击的威胁,提出了一种基于对比学习的图神经网络后门攻击防御方法(CLB-Defense)。具体来说,基于对比学习无监督训练的对比模型查找可疑后门样本,采取图重要性指标以及标签平滑策略去除训练数据集中的扰动,实现对图后门攻击的防御。最终,在4个真实数据集和5主流后门攻击方法上展开防御验证,结果显示CLB-Defense能够平均降低75.66%的攻击成功率(与对比算法相比,改善了54.01%)。 相似文献
14.
深度学习模型对对抗样本表现出脆弱性.作为一种对现实世界深度系统更具威胁性的攻击形式,物理域对抗样本近年来受到了广泛的研究关注.现有方法大多利用局部对抗贴片噪声在物理域实现对图像分类模型的攻击,然而二维贴片在三维空间的攻击效果将由于视角变化而不可避免地下降.为了解决这一问题,所提Adv-Camou方法利用空间组合变换来实时生成任意视角及变换背景的训练样本,并最小化预测类与目标类交叉熵损失,使模型输出指定错误类别.此外,所建立的仿真三维场景能公平且可重复地评估不同的攻击.实验结果表明,Adv-Camou生成的一体式对抗伪装可在全视角欺骗智能图像分类器,在三维仿真场景比多贴片拼接纹理平均有目标攻击成功率高出25%以上,对Clarifai商用分类系统黑盒有目标攻击成功率达42%,此外3D打印模型实验在现实世界平均攻击成功率约为66%,展现出先进的攻击性能. 相似文献
15.
为了解决恶意代码检测器对于对抗性输入检测能力的不足,提出了一种对抗训练驱动的恶意代码检测增强方法。首先,通过反编译工具对应用程序进行预处理,提取应用程序接口(API)调用特征,将其映射为二值特征向量。其次,引入沃瑟斯坦生成对抗网络,构建良性样本库,为恶意样本躲避检测器提供更加丰富的扰动组合。再次,提出了一种基于对数回溯法的扰动删减算法。将良性样本库中的样本以扰动的形式添加到恶意代码中,对添加的扰动进行二分删减,以较少的查询次数减少扰动的数量。最后,将恶意代码对抗样本标记为恶意并对检测器进行重训练,提高检测器的准确性和稳健性。实验结果表明,生成的恶意代码对抗样本可以躲避目标检测器的检测。此外,对抗训练提升了目标检测器的准确率和稳健性。 相似文献
16.
随着深度学习技术的迅猛发展,各种相似的骨干网络被用于多源遥感分类任务中,取得了很高的识别正确率。然而,由于神经网络极易受到对抗样本的攻击,这给遥感任务带来了很高的安全隐患。以往的对抗攻击方法可有效攻击单波段遥感图像的分类器,但不同波段的攻击并不耦合,这导致现有方法在现实世界中难以用于多源分类器的攻击。针对多源遥感的特性,本文提出了一种新的基于稀疏差分协同进化的对抗攻击方法:投放一定数量包含稀疏多源噪声信息的种子,通过限定噪声点在多源遥感中具有相同位置,实现多源对抗攻击的耦合,按种子信息制作对抗样本,利用上一代的种子(父代)进行变异与交叉,产生新的种子(子代),同样制作对抗样本,综合比较多源对抗样本的攻击效果,保留效果更好的种子,重复此过程,最终可得到高度耦合且攻击效果最好的多源遥感对抗样本。实验证明了本文方法的可行性:在单点攻击下,61.38%的光学图像和38.93%的合成孔径图像被成功转化为对抗样本,光学和合成孔径分类器中都无法正确识别的区域从5.83%升至55.10%。 相似文献
17.
18.
无线通信常需要检测通信信号的调制类型,来分析估计调制参数,或发出干扰信号破坏对方通信系统。深度学习成为研究热点为调制信号识别带来了极大的便利,然而人工智能模型面临着来自对抗样本严重的威胁,这大大降低了深度机器学习任务执行的高可靠性度和安全性。针对电磁信号识别中的对抗攻击问题,使用Matlab生成数据集,并设计深度神经网络为问题研究的基础。进一步对对抗样本进行分析,结合信号理论,给出了通信信号对抗样本产生原因的分析,并研究经典的基于梯度生成的对抗样本生成算法,实现在不同攻击类型及迭代步长下的白盒攻击,可将原始模型识别率降低30%以上。仿真实验证明,卷积神经网络极易受到对抗攻击,对抗样本会对智能模型的辨识精度产生影响,对于深度学习模型的安全性与可靠性的研究具有重要价值。 相似文献
19.