应用转移的黑盒攻击(Transferability in Machine Learning: from Phenomena toBlack-Box Attacks using Adversarial)

已于 2024-03-18 12:44:59 修改
阅读量1.2k 收藏 19
点赞数 25
分类专栏: 论文精读 文章标签: 机器学习 深度学习 分类算法 神经网络 论文阅读
于 2024-03-14 16:50:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a2333333_/article/details/136712686
版权

一、简介

这篇文章是2016年的,很有年代感

其提出的方法几乎是最早一批的黑盒攻击方式,很有味道值得一读

本文讲述了面对黑盒(Black-Box)模型时,通过构造替代(substitute)模型,通过转移(transfer)手段对受害者(victim)模型(也就是要被攻击的模型)进行攻击

二、文章特色

2.1名词解释

文章营养浓缩成精华,我们先来解释几个概念

名词 概念
白盒模型 模型参数均可知的模型
黑盒模型 攻击者无法访问模型,甚至不知道softmax层的输出概率,只能知道模型输出类别
受害者模型 攻击方需要攻击的模型
替代模型 受害者模型的替身,是攻击者构建的,和受害者模型相似,对于攻击者来说是白盒模型
转移 攻击者通过攻击替代模型,习得的攻击方法一定程度对受害者模型有效

2.2对比模型

文章对比了五大机器学习模型:DNN(深度神经网络),LR(逻辑回归),SVM(支持向量机),DT(决策树),KNN(k近邻)

三大特性分别为:可微分,线性,延迟预测

最低0.47元/天 解锁文章
零时科技 || H2O攻击事件分析:揭示未来科技的安全挑战与应对策略
s13596191285的博客
03-26 7
H2O攻击,顾名思义,利用优化算法在AI系统的训练过程中,通过特定的输入扰动或代码漏洞,从而导致模型的失效或行为偏差。此类攻击主要依赖于对深度学习模型优化流程的精准干扰,攻击者通过改变算法的训练参数、调整输入数据或篡改模型权重来影响预测结果。H2O攻击具有极高的隐蔽性和针对性,通常难以通过传统安全手段进行检测和防护。H2O攻击作为一种新型的AI优化攻击手段,正在逐渐威胁到全球范围内的人工智能系统。
黑盒攻击很难?元学习提高"黑盒对抗攻击"成功率
我爱计算机视觉
04-12 1266
关注公众号,发现CV技术之美本文分享论文『Boosting Black-Box Adversarial Attacks with Meta Learning』,元学习提高黑盒对抗攻击。详细信息如下:论文链接:https://arxiv.org/abs/2203.14607 01 引言在深度学习中,黑盒攻击是对抗攻击中最难的一种攻击方式,它不像白盒攻击可...
AdvFlow:一种基于标准化流的黑盒攻击新方法,产生更难被发觉的对抗样本 | NeurIPS‘20
极市平台的技术博客
12-08 1227
本文提出一种新的黑盒对抗攻击方法AdvFlow,通过利用标准化流来建模对抗样本的数据分布,使得生成的对抗样本的分布和正常样本接近,从而让对抗样本更难被检测出来,打破了对抗样本和正常样本的分布大不相同的固有认知。 论文地址:https://arxiv.org/abs/2007.07435 论文代码:https://github.com/hmdolatabadi/AdvFlow 本文为极市原创投稿,转载请获得授权。 引言 虽然神经网络在很多机器学习任务上都取得了非凡的表现,但是通过对输入样本添加微小的扰动
黑盒攻击(为什么选择基于迁移的攻击
算法探索之路
06-24 2893
总之,黑盒攻击是在缺乏目标模型完全内部信息的情况下进行的攻击,基于观察模型输入输出的行为进行推断和攻击。基于查询的攻击:基于查询的黑盒攻击通过向目标模型发送一系列特定的查询来获取模型的输出,然后利用这些输出信息进行攻击。基于迁移的攻击:基于迁移的黑盒攻击利用已知模型或数据集的信息来攻击目标模型。综上所述,选择基于迁移的黑盒攻击可以更好地适应模型不可知性的情况,利用已有数据进行攻击,提供更贴近实际场景的评估。基于迁移的攻击可以利用已知模型的特性和行为来推断目标模型的性质,从而更有效地进行攻击
黑盒攻击和白盒攻击
小姑仔的博客
07-25 2924
白盒攻击 假设我们图像的数组为x,模型已经正确分类到y_true,这时我们需要进行白盒攻击,微小地修改图像数组x使得模型将其分类到y1 给模型输入(x,y1)获取到模型在输入x上的梯度,这里的x便是图像的数组表示 依据梯度,在图像上进行调整,以达到减小误差,判断是否此时模型将其分类到y1 重复2、3步,直到模型将其分类到y1或者超出时间限制 使用的算法主要有两个思想:每次将梯度等比放大,至少最大值达到某个阈值(代码中为7);同时限定对图像调整的幅度noise在一定范围以内(代码中noise_limit为50
CloudLeak: Large-Scale Deep Learning Models一种黑盒攻击方法
weixin_40827685的博客
11-16 1581
background state of the art(已有的对比项) solution/contribution(系统还是算法贡献) evaluation conclusion/future work CloudLeak: Large-Scale Deep Learning Models CloudLeak:通过对抗性示例窃取的大规模深度学习模型 ...
机器学习安全及隐私保护研究进展》学习笔记
pandalai的博客
08-26 2739
文章目录1. 攻击者模型(Adversary Model)1.1 攻击者目标(从 CIA 三方面来看)1.2 攻击者知识1.3 攻击者能力1.4 攻击者策略2. 机器学习安全威胁及防御技术2.1 机器学习常见的安全性威胁:2.1.1 训练阶段的安全威胁1. 投毒攻击(poisoning attack)2.1.2 预测阶段的安全威胁1. 对抗攻击adversarial attack)2. 白盒攻击...
对抗攻击的类型介绍
tyh70537的博客
05-19 2366
对抗攻击的类型介绍 根据攻击者对目标模型(被攻击的模型)的了解程度不同,已有的对抗攻击大致可以分为两类:白箱攻击和黑箱攻击。 1 白箱攻击 在白箱攻击算法攻击者知道目标模型的所有信息,包括模型的训练集、类型、结构以及参数。白箱攻击考虑的是在一种对攻击者而言极度理想的情况,虽然高估了攻击者的能力,但是可以用来评估机器学习模型的安全性的下限。此外,白箱攻击能够和后面将会提到的“基于迁移的攻击”相结合,因此研究白箱攻击意义还是很大的。 2 黑箱攻击 在黑箱攻击中,攻击者不知道目标模型的内部细节,只能够观察目标模
[论文笔记]Delving into Transferable Adversarial Examples and Black-box Attacks(ICLR2017)
m0_50705580的博客
01-30 1786
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次 使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Ma
【对抗攻击论文】黑盒开篇:Practical Black-Box Attacks against Machine Learning
ji_meng的博客
06-23 2158
作为黑盒攻击的开篇,本文是基于迁移的黑盒攻击。由于不知道目标模型的内部结构,所以采用一个合成的数据集来训练一个本地替代模型DNN,接着采用雅可比数据增强的方式利用数据在目标模型上的输出更新数据集,再进行模型训练,以建立一个近似于oracle模型O的决策边界的模型F。 Sρ+1={x⃗+λ⋅sgn(JF[O(x⃗)]):x⃗∈Sρ}∪SρS_{\rho+1}=\{ \vec{x}+\lambda \cdot sgn(J_F[O(\vec{x})]):\vec{x} \in S_{\rho} \} \cup S
神经网络攻击与防御PPT吧
08-08
Attacking and defending neural networks 神经网络攻击与防御 胡晓林 清华大学计算机系 清华大学类脑计算研究中心 Background Attacking methods Defending methods Interpretability Summary
FeatureSpaceAttack:一种基于风格迁移的针对图片特征空间而非像素空间的黑盒攻击方法
v1716836592的博客
02-19 1076
论文:Towards Feature Space Adversarial Attack by Style Perturbation。
对抗攻击方法详解:梯度攻击转移攻击与模型集成攻击
最新发布
qq_22841387的博客
09-27 2938
1. **基于梯度的攻击**是白盒场景下的强大攻击方法,但其对黑盒场景的适应性较差,且容易被对抗训练等防御策略抵消。 2. **基于转移攻击**通过生成具有迁移性的对抗样本提升了黑盒攻击的成功率,但在新型深度学习架构上效果有限。 3. **模型集成攻击**通过结合多个模型的信息提升了对抗扰动的泛化能力,但需要更多的计算资源,且在利用个体模型的独特性上仍有改进空间。
white/black-box attack(黑盒白盒攻击基础)
山里娃的博客
03-29 7602
黑盒白盒攻击基础
黑盒攻击分类_「图像分类」图像分类中的对抗攻击是怎么回事?
weixin_39603613的博客
12-23 669
欢迎大家来到图像分类专栏,深度学习分类模型虽然性能强大,但是也常常会因为受到小的干扰而性能崩溃,对抗攻击就是专门研究如何提高网络模型鲁棒性的方法,本文简要介绍相关内容。作者 | 郭冰洋编辑 | 言有三1 简介对于人类而言,仅仅通过所接收到的视觉信息并不能完全帮助我们做出正确、迅速的判定,还需要结合我们的生活经验做出相应的反应,以确定哪些信息是真实可靠的,而哪些信息是虚假伪造的,从而选取最适合的信息...
网络与系统安全4.1 基于随机搜索的黑盒对抗攻击方法
爱学习爱运动的专栏
05-30 846
1 摘要 神经网络模型容易受到对抗样本的攻击,根据攻击者是否能获取到模型内部参数可以把攻击类型分为白盒攻击黑盒攻击。 白盒攻击比较常见,但其对目标模型的威胁程度要远低于黑盒攻击。 传统黑盒攻击往往都是基于梯度实现的,并且具有查询次数高、攻击时间长以及成功率低的缺点。 针对这一问题,本文讨论了一种高效查询的黑盒对抗攻击算法,该黑盒攻击也被称为平方攻击,具体内容如下: 平方攻击选择局部方形更新在随机位置,以便在每次迭代中,扰动大约位于可行集的边界处; 平方攻击是一种基于分数的黑盒对抗攻击,具有不依赖于模
不是你不懂黑盒攻击,而是你还不懂SurFree
Moyun_vackbot的博客
04-11 6008
本文介绍的SurFree是一种基于几何原理的对抗攻击算法,可以在最苛刻的条件下,即基于黑盒决策的攻击,仅依赖最终的分类标签来大幅减少查询花销。
黑盒攻击分类_<EYD与机器学习>:对抗攻击基础知识(二十八)
weixin_42405705的博客
12-29 856
各位知乎儿好,上次分享的一篇综述论文中曾经提到目前对抗性例子的迁移性问题。其中作者曾指出,对抗样本的迁移分为三种:(1)在同一神经网络架构之间用不同的数据进行训练; (2)同一任务训练的不同神经网络架构之间的传输; (3)不同任务的DNNs之间的转移。第三种的难度最大,在当时还没有实现不同任务之间对抗样本迁移的例子。今天笔者想分享的就是一篇在不同任务之间进行迁移的对抗攻击方法,该论文所提算法可...
剖析GhostNet:AI黑盒攻击的本质探讨
AI天才研究院
08-05 831
剖析GhostNet:AI黑盒攻击的本质探讨 1.背景介绍 1.1 人工智能系统的脆弱性 1.2 对抗性攻击的兴起 1.3 G
EMNLP 2020: 探索跨NLP任务可转移性的研究与实践
本文档是关于一篇即将在EMNLP 2020(Empirical Methods in Natural Language Processing,自然语言处理的经验方法会议)上发表的论文,其核心内容是探讨和预测跨NLP任务的可转移性。本文档详细介绍了相关的数据和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值