1. No bot expects the DeepCAPTCHA! (2017)
之前添加扰动的方法:
1) The Optimization Method: Szegedy et al. [42] introduced the concept of adversarial examples in the context of DL networks and proposed a straightforward way of computing them using the following optimization problem:
2)The Fast Gradient Sign Method
我们提出的添加扰动方法:因为在文字验证码上的扰动很容易被过滤,所以我们选择包含更丰富的色彩,形状、纹理的物体图像作为IAN构建的平台。我们的方法基于FGS方法,而不是Optimization ,是因为验证码添加扰动需要对抗性样本的快速计算,FGS的扰动计算速度很快,这也是我们方法的优点。
但是FGS攻击有两个严重的缺点,第一缺点为它只干扰原标签的分类,但是不保证原标签和目标标签有巨大区别,这才验证码应用上会导致严重的问题,我们提出了一个迭代的FGS算法,它除了接受原始图像外,还有一个目标标签和产生的对抗性样本被识别目标标签的期望的置信度(同时将增加的扰动保持在最小限度)。在几轮迭代后,达到了错误的目标分类和期盼的置信度,我们叫这个方法为iterative fast gradient sign (IFGS)。为了增加目标标签的激活,我们对输入图像I的更新为:
第二个缺点为FGS缺少对过滤的适应性,增大扰动的尺寸会严重损害图像的内容,从而导致人眼识别不佳。此外,我们观察到FGS噪声在图像上趋于平稳,这有助于标准滤波。为解决这些问题,我们建议采用以下方法:我们生成不可变对抗噪声的构造始于IFGS产生的对抗图像,噪声常数ǫ很小。然后过滤对抗图像并尝试识别它。如果成功,那么我们增加扰动并使用新的噪声常数运行IFGS。我们重复该过程,直到无法消除噪音为止。这种迭代方法保证了扰动的增加不超过所需水平(人类可以轻易识别正确)。另外,多次运行IFGS会增加
噪声对源图像的依赖性,可防止标准过滤器将其删除。
Contribution
本文提出了DeepCAPTCHA——一种新的CAPTCHA生成概念,它利用专门设计的对抗性扰动来欺骗深度学习分类工具。扰动保持在很小的范围内,这样在人类的识别能力不会受到明显影响的同时也会抵制被过滤攻击。以前用于产生对抗性扰动的方法缺乏对滤波或任何其他试图去除对抗性扰动的攻击的鲁棒性。我们是第一个解决这个问题的,我们在添加扰动的过程中添加了一个过滤器,过滤掉在图片的预处理阶段容易被过滤的扰动,保证最终添加的扰动不会被过滤掉。我们分析了我们的构造对多种互补攻击的安全性,并表明它对所有攻击都是高度鲁棒的他们。结果表明,我们的方法在安全性和可用性方面都有优点。
实验结果:
图 1 是一个 DeepCAPTCHA 的 例子。图中位于最上方的图像是提示信息,用于提示候选类别。其余图像为候选图像,其中包含属于 候选类别的图像和不属于候选类别的图像,用户需 要从候选图像中准确选出所有属于候选类别的图像才能通过该验证码测试。
缺点:
IAN 是一种样本相关的对抗扰动,该对抗扰动只能对单个样本产生很好的攻击效果。IAN 是和样本相关的,DeepCAPTCHA 出于对生成验证码的效率考虑只在提示信息中添加 IAN, 而所有候选图像都是未添加对抗扰动的原始图像。 但是这会导致 DeepCAPTCHA 的安全性不够高。并且仅仅在结构相对简单的 CNN 模型下测试 了 DeepCAPTCHA 的安全性,并未在当前主流的 CNN 模型下进行测试。
2.Adversarial CAPTCHAs
1 介绍
CAPTCHA(完全自动化的公共图灵测试,告诉计算机和人类分开)是一种计算中的挑战响应测试,用于区分人为程序和自动化程序(机器)。
现有的验证码方案:
总的来说,现有流行验证码可以分为四类。
- 基于文本的验证码。 基于文本的验证码方案 要求用户识别一串有或无模糊背景变形的字符 。 由于其简单而高效,在可预见的将来,基于文本的验证码是迄今为止最广泛使用且可以接受的形式。
- 基于图像的验证码。 基于图像的验证码是另一种流行的方案,通常要求用户在自几个候选图像,选择一幅或多幅具有特定语义的图像。
- 基于音频的验证码。 基于音频的验证码询问用户识别一段音频中的语音内容。
- 基于视频的验证码。 基于视频的验证码是要求用户完成基于内容的新型验证码视频标记任务。
验证码的问题和动机:
一般来说,可以根据验证码的**安全性**能来评估验证码,它指的是验证码对各种攻击的强度和弹性,以及**可用性**,这是指验证码对用户的友好程度。从安全性的角度来看,看到验证码方案被某些攻击破坏的报道并不新鲜。 验证码的发展总是呈螺旋状前进,并不断伴随着新出现的攻击。对于基于文本的验证码,其最早版本的安全目标是防御基于光学字符识别(OCR)的攻击。因此,应用了许多失真技术(例如,变化的字体,变化的字体大小和旋转)。在过去的十年中,机器学习算法变得越来越强大。在开创性的工作表明,即使在严重的变形下,计算机在识别字符方面也要胜过人类,因此提出了许多成功的针对基于文本的验证码的攻击,包括针对基于多文本的验证码和基于单文本验证码的通用攻击。尽管可以通过增加失真和混淆级别来提高基于文本的验证码的安全性,但它们的可用性将受到显着影响。
对于基于图像的验证码也存在相同的难题。随着机器学习研究的蓬勃发展,尤其是最近深度学习的发展,深度神经网络(DNN)在图像分类和识别,匹配甚至超越人类,在数千个类别的任务中的认知能力方面取得了令人瞩目的成功。伴随着这样的进展,正如许多报道所证明的,最近已经提出了许多基于DNN的攻击,以非常高的成功率破解基于图像的验证码。为了抵御现有攻击,直觉是要高度依赖级别的图像语义并开发基于复杂图像的验证码,例如,通过利用图像周围的上下文来识别图像对象。 撇开安全性收益,此类设计通常会导致可用性较差。 更糟的是,与基于文本的CAPTCHA不同,设计人员很难(即使不是不可能)通过某些规则生成具有所需语义含义的特定图像。 换句话说,太费力以致无法大规模地收集带标签的图像。
总之,从安全性和可用性角度来看,现有的基于文本和图像的验证码都面临挑战。 期望开发一种新的验证码方案,该方案在保持适当的可用性的同时实现高安全性,即在安全性和可用性之间寻求更好的平衡。
我们的方法和贡献:
为了解决现有的基于文本和图像的验证码的难题,我们首先开始着手分析它最新的攻击。 毫不奇怪,基于文本和图像的验证码的大多数攻击都基于机器学习技术,尤其是最新和最强大的技术,它们主要基于深度学习,通常是CNN。 正如我们之前所讨论的,主要是因为验证码的发展根源于机器学习研究的进展。
另一方面,随着机器学习研究的进步,研究人员发现,许多机器学习模型(尤其是神经网络)容易受到对抗性样本的攻击,它们被定义(从模型的角度来看是恶意的)为人类无法察觉的精心制作的输入,但它们可以使机器学习模型愚弄而引起不良行为,从而产生不正确的输出。 受到这一事实的启发,我们是否可以通过主动攻击现有的验证码攻击来设计一种新型的验证码,即“用自己的长矛抵御自己的盾牌”?
我们研究了基于对抗性学习(即基于文本的对抗性验证码和基于图像的对抗性验证码)生成基于文本和图像的验证码的方法,这些方法可以适应最新的验证码攻击并同时保持较高的可用性。 具体来说,我们在设计中有三个主要目标:
- 安全性:这意味着已开发的验证码可以有效防御最新的攻击,尤其是强大的基于深度学习的攻击;
- 可用性:这意味着已开发的验证码应在实践中可用并保持较高的用户体验;
- 兼容性:这意味着提出的的验证码生成方案与现有的基于文本和图像的验证码部署和应用程序兼容。
考虑到上述目标,我们研究了向传统的验证码注入人类可容忍的,具有预处理适应能力(即无法通过验证码攻击消除)的干扰的方法。具体来说,我们设计并实现了一个新颖的系统aCAPTCHA,以生成和评估基于文本和图像的对抗性验证码。
我们的主要贡献可总结如下:
- 按照我们的设计原则,我们提出了一个在现有对抗性样本(图像)生成技术基础上生成对抗性验证码的框架。具体来说,我们提出了四种基于文本和四种基于图像的对抗式验证码生成方法。 然后,我们设计并实现了一个名为aCAPTCHA的综合对抗性验证码生成和评估系统,其中集成了10种图像预处理技术,9种验证码攻击,4种基准对抗性验证码生成方法以及8种新的对抗性CAPTCHA生成方法, 以及8种新的对抗式验证码生成方法。 aCAPTCHA可用于基于文本和图像的对抗性验证码的生成,安全性评估和可用性评估。
- 为了检查aCAPTCHA生成的对抗式验证码的性能,我们进行了广泛的安全性和可用性评估。 结果表明,生成的对抗性验证码在保持和常规验证码相似的可用性的同时,还提高了验证码的安全性。
- 我们开源了aCAPTCHA系统的源代码,包括源代码,训练有素的模型,数据集以及用于可用性评估的接口。 期望aCAPTCHA可以促进验证码安全性研究,并可以为设计更加安全和可用的对抗性验证码方法提供启发。
2 背景
在本节中,我们简要介绍对抗性样本和相应的防御技术。
2.1 对抗性样本
神经网络在广泛的应用领域中都取得了出色的性能,尤其是图像识别。但是,最近的工作发现,包括神经网络在内的现有机器学习模型容易受到***对抗性样本***的攻击。具体来说,假设我们有一个带有模型参数的分类器F,令x为具有相应地面真实性预测y的分类器输入。
最低0.47元/天 解锁文章
6104
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
