对抗攻击算法总结论文集合(白盒、黑盒、目标检测、对抗训练等)

已于 2023-12-15 20:08:39 修改
阅读量2w 收藏 246
点赞数 48
分类专栏: # 学习笔记 文章标签: 对抗攻击 黑盒攻击 白盒攻击 深度学习
于 2022-04-09 17:28:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ji_meng/article/details/124063863
版权

文章目录

前言

只是一个自己看过的论文小汇总,还不能当综述,但也包含了很多经典的对抗攻击算法,方便回顾和查询,自己看的第一篇综述是:
Advances in adversarial attacks and defenses in computer vision: A survey
论文这件事,真的只能多看,上学期看的,现在忘差不多了(估计还得从头再看亿遍),代码也得操练起来。
由于我没给论文链接(比较费时间),我就介绍几个搜索文献的网站

代码就看论文中有没有给链接吧,然后就 paperswitchcode,基本上每一篇都有。后面有时间会编辑个论文和代码链接吧,然后简单介绍每种算法的idea和method,比较经典的应该会单出论文笔记。
算法的分类没有那么严格,可能会有一些出入,新看的论文会再加入,持续更新。

对抗攻击名词解释

术语含义
white-box attack白盒攻击:知道模型的全部信息
black-box attack黑盒攻击:无法获知模型的训练过程和参数
query-based attack基于查询的攻击:攻击者能够查询目标模型并利用其输出来优化对抗性图像
score-based attack基于分数的攻击:需要知道模型的输出的置信度
decision-based attack基于决策的攻击:只需要知道目标模型的预测标签(top-1 label)
targeted attacks定向攻击,欺骗模型使模型预测为特定标签;相对于un-targeted attacks,没有特定标签,只求模型预测错误
adversarial training对抗训练:在模型的训练数据中注入对抗性例子以使其具有对抗鲁棒性

首先:对抗攻击的最先提出:Intriguing properties of neural networks

一、白盒攻击

1.FGSM
(1)FGSM——EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES
(2)I-FGSM——ADVERSARIAL EXAMPLES IN THE PHYSICAL WORLD
(3)MI-FGSM——Boosting Adversarial Attacks with Momentum(白盒黑盒均适用)
(4)NI-FGSM,SIM——NESTEROV ACCELERATED GRADIENT AND SCALE INVARIANCE FOR ADVERSARIAL ATTACKS(增加迁移性)

2.JSMA
The Limitations of Deep Learning in Adversarial Settings

3.DeepFool
DeepFool: a simple and accurate method to fool deep neural networks

4.PGD:
Towards Deep Learning Models Resistant to Adversarial Attacks

4.CW(被称为最强白盒)
Towards Evaluating the Robustness of Neural Networks

二、黑盒攻击

黑盒开篇:Practical Black-Box Attacks against Machine Learning

主要可以分为基于查询的和基于迁移的

1.基于查询(query-based attack)

基于查询的又可分为基于分数的和基于决策的;目标是减少查询次数,增加攻击成功率,以决策攻击更活跃。

1.1 socre-based attack

1.1.1 梯度估计:
因为是黑盒,所以无法获取梯度,那么可以采用一些方法来估计梯度

(1)ZOO——ZOO: Zeroth Order Optimization Based Black-box Attacks to
Deep Neural Networks without Training Substitute Models

(2)AutoZOO——AutoZOOM: Autoencoder-Based Zeroth Order Optimization Method for Attacking Black-Box Neural Networks

(3)NES——Black-box Adversarial Attacks with Limited Queries and Information(ICML2018)

(4)Bandits——Prior convictions: Black-box adversarial attacks with bandits and priors(ICLR2019)

(5)SignHunter——SIGN BITS ARE ALL YOU NEED FOR BLACK-BOX AT

1.1.2 无梯度
采取一些方法,直接不需要估计梯度,类似于盲人摸象(效果还很好!)

(1)SimBA——Simple Black-box Adversarial Attacks(ICML2019)

(2)Square——Square attack: a query-efficient black-box adversarial attack via random search(ECCV2020)

1.1.3 迁移+分数查询组合
利用迁移性作为一个先验(初始化),再用查询的方法

(1)P-RGF——Improving Black-box Adversarial Attacks with a Transfer-based Prior(NIPS2019)

(2)TREMBA——Black-Box Adversarial Attack with Transferable Model-based Embedding

(3)Learning Black-Box Attackers with Transferable Priors and Query Feedback

(4)Switching Transferable Gradient Directions for Query-Efficient Black-Box Adversarial Attacks

(5)MetaSimulator——Simulating Unknown Target Models for Query-Efficient Black-box Attacks

(6) N ATTACK: Learning the Distributions of Adversarial Examples for an Improved Black-Box Attack on Deep Neural Networks

1.2 decision-based attack

(1)开篇 Boundary Attack——Decision-Based Adversarial Attacks: Reliable Attacks Against Black-Box Machine learning Models

(2)Opt-Attack——Query-Efficient Hard-label Black-box Attack: An Optimization-based Approach

(3)Guessing Smart: Biased Sampling for Efficient Black-Box Adversarial Attacks

(4)Sign-Opt—— SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK

(5)qFool——A Geometry-Inspired Decision-Based Attack

(6)NES——Black-box Adversarial Attacks with Limited Queries and Information

(7)HSJA——HopSkipJumpAttack: A Query-Efficient Decision-Based Attack

(8)GeoDA: a geometric framework for black-box adversarial attacks

(9)QEBA: Query-Efficient Boundary-Based Blackbox Attack

(10)SurFree: a fast surrogate-free black-box attack

(11)f-attack——Decision-Based Adversarial Attack With Frequency Mixup

2.基于迁移

核心观点是:计算本地代理模型的扰动,使得这些扰动也能有效地欺骗其他目标模型。所以这块就是在研究怎么提高迁移性

(1)开篇:Transferability in Machine Learning: from Phenomena to Black-Box Attacks using Adversarial Samples

(2)Delving into Transferable Adversarial Examples and Black-box Attacks

(3)Enhancing the Transferability of Adversarial Attacks through Variance Tuning

(3)元学习:Meta Gradient Adversarial Attack

3.基于无数据替代训练

无数据替代训练不同于普通黑盒攻击的最大区别在于不能获取训练数据

(1)DaST:Data-free Substitute Training for Adversarial Attacks(CVPR2020)

(2)Delving into Data: Effectively Substitute Training for Black-box Attack

(3)Learning Transferable Adversarial Examples via Ghost Networks

(4)Towards Efficient Data Free Black-box Adversarial Attack

4.其他

(1)通用黑盒攻击UAP——Universal adversarial perturbations

(2)单像素攻击:One Pixel Attack for Fooling Deep Neural Networks;Simple Black-Box Adversarial Attacks on Deep Neural Networks

(2)AdvDrop: Adversarial Attack to DNNs by Dropping Information

(3)无盒攻击——Practical No-box Adversarial Attacks against DNNs

三、对抗攻击与目标检测

  1. Towards Adversarially Robust Object Detection
  2. DPATCH: An Adversarial Patch Attack on Object Detectors

四、对抗训练&鲁棒性

  1. Towards Deep Learning Models Resistant to Adversarial Attacks
  2. A Closer Look at Accuracy vs. Robustness
  3. ENSEMBLE ADVERSARIAL TRAINING ATTACKS AND DEFENSES
  4. Towards Evaluating the Robustness of Neural Networks
nanyidev
关注
  • 48
    点赞
  • 246
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
生成式对抗算法
Mr.xing的博客
05-21 199
生成式对抗算法是一种强大的深度学习技术,它能够在无监督学习的环境下生成高质量的数据,为多个领域的应用提供了可能性。在数据集生成方面,GAN也展现出了强大的能力,它可以为各种图像数据集生成新的案例,从而扩充数据集的规模。但是,为了说明如何在Java中实现GAN的基本概念,我可以提供一个简化的示例框架,但这需要你对DL4J或其他Java深度学习框架有深入的了解。生成器的任务是生成尽可能看起来像真实数据的假数据,而判别器的任务则是尽可能准确地判断输入的数据是真实的还是由生成器生成的。
对抗攻击方法一览
m0_56069948的博客
04-08 1786
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 背景 神经网络在过去的几年和几十年已经获得了长足的进步,神经网络的应用已经遍布我们生活的各个角落。但是与此同时,也有人发现神经网络并不像我们预期的那么具有鲁棒性,仅仅在图片中添加一个微笑的扰动就可以改变神经网络最后的预测结果,这些技术被称为对抗攻击对抗攻击是指在干净的图片中添
深度学习中的对抗攻击与防御
01-20
对抗样本是被添加微小扰动的原始样本,用于误导深度学习模型的输出决策,严重威胁到系统的可用性,给系统带来极大的安全隐患。为此,详细分析了当前经典的对抗攻击手段,主要包括白盒攻击黑盒攻击。根据对抗攻击和防御的发展现状,阐述了近年来国内外的相关防御策略,包括输入预处理、提高模型鲁棒性、恶意检测。最后,给出了未来对抗攻击与防御领域的研究方向。
white/black-box attack(黑盒白盒攻击基础)
山里娃的博客
03-29 7007
黑盒白盒攻击基础
5 白盒攻击算法
kking_edc的博客
01-27 1301
1 对抗样本的基本原理 从数学角度来描述对抗样本,输入数据为x,分类器为f,对应的分类结果表示为f(x)。假设存在一个非常小的扰动ϵ\epsilonϵ,使得: f(x+ϵ)≠f(x)f(x+\epsilon)\ne f(x)f(x+ϵ)​=f(x) 即分类结果发生了改变,那么x+ϵx+\epsilonx+ϵ就是一个对抗样本。 以一个例子来说明对抗样本的基本原理: from sklearn import datasets from sklearn.preprocessing import OneHotEnc
深度学习(十三) Adversarial Attack 理论部分
AliForever2020的博客
09-25 1638
本文是根据李宏毅老师的对抗攻击总结出来的部分
初探对抗攻击——黑盒攻击&白盒攻击
WwwwHy搞的烂活
10-23 1万+
# 系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录# 系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,
机器学习(13)——对抗攻击
weixin_53598445的博客
03-17 5099
文章目录前言1 原理2 攻击方式2.1 针对模型的攻击2.1.1 白盒攻击2.1.2 黑盒攻击2.2 针对输出的攻击2.2.1 无目标攻击2.2.2 有目标攻击3 对抗样本生成方式4 实例5 流程图 前言   在人工智能带来的风险中,对抗攻击就是重要风险之一。攻击者可以通过各种手段绕过,或直接对机器学习模型进行攻击达到对抗目的,使我们的模型失效或误判。如果类似攻击发生在无人驾驶、金融AI等领域则将导致严重后果。所以,需要未雨绸缪,认识各种对抗攻击,并有效地破解各种对抗攻击。 1 原理   对抗攻击最核心的手
什么是对抗样本、对抗攻击(详解)
10-18 2万+
1.对抗样本 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2.对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗攻击主要.
图像对抗算法-攻击篇(FGSM)
热门推荐
AI之路
05-31 3万+
论文:Explaining and Harnessing Adversarial Examples 论文链接:https://arxiv.org/abs/1412.6572 在图像攻击算法中,FGSM(fast gradient sign method)是非常经典的一个算法。这篇发表于ICLR2015的文章通过梯度来生成攻击噪声,核心思想就是Figure1所示的内容。Figure1中左边图是常规的...
目标检测 对抗攻击
qq_35608277的博客
01-07 1871
两个现象。 第一个是高维神经网络的神经元并不是代表着某一个特征,而是所有特征混杂在所有神经元中;第二个是在原样本点上加上一些针对性的但是不易察觉的扰动,就很容易导致神经网络的分类错误。 第二个性质就是对抗攻击的理论基础,后来Goodfellow 在 Explaining and Harnessing Adversarial Examples[13]中提出原因并非是深层神经网络的高度非线性和过拟合,即使是线性模型也存在对抗样本。在这篇论文中,我们可以粗浅地认为对抗攻击之所以能够成功的原因是误差放大效应: 对抗
AAAI 2021上与【对抗攻击(Adversarial Attack)】相关的论文(六篇)
02-28
基于对抗攻击(Adversarial Attack)相关的接受paper不少,这几年比如 对抗攻击、基于图数据的对抗攻击、NLP、CV上的攻击防御等等一些列前沿的方法和应用受到了很多人的关注,也是当前比较火的topic。
EWR-PGD:白盒对抗攻击
05-24
高效的暖启动预计梯度下降(EWR-PGD) 我们提出了一种新的名为EWR-PGD的白盒对抗攻击方法,该方法超越了最新的攻击性能。 它比最新的方法更有效。 代码即将推出。 EWR-PGD和ODI-PGD的比较 当将模型降低到相同的精度时,EWR-PGD所需的重新启动次数明显少于ODI-PGD的重新启动次数。 EWR-PGD的速度大约是ODI-PGD的5倍。 图1.在10个最新的防御模型上,当EWR-PGD和ODI-PGD方法将模型降低到相同精度时,所需重启次数的比较(越低越好)。 这些模型可在线获得: 3个白盒排行榜上的结果 EWR-PGD在TRADES白盒MNIST和CIFAR-10排行榜上排名第一,将MNIST模型的准确性降低到92.52%,将CIFAR-10模型的准确性降低到52.95%。 EWR-PGD在MardyLab的CIFAR-10白名单排行榜中也排名第一,将其CI
基于深度强化学习的黑盒对抗攻击算法.pdf
08-18
基于深度强化学习的黑盒对抗攻击算法 本文提出了一种基于深度强化学习的黑盒对抗攻击算法,该算法可以生成高质量的对抗样本,攻击深度神经网络模型。该算法使用DDQN框架和Dueling网络结构,通过智能体模仿人类调整...
软件测试白盒黑盒测试.ppt
12-19
软件测试白盒黑盒测试 软件测试是软件开发过程中的一个重要环节,它的目的是确保软件的质量和可靠性。软件测试可以分为白盒测试和黑盒测试两种,白盒测试是基于软件的内部结构和实现细节进行测试,而黑盒测试是基于...
车牌识别系统的黑盒对抗攻击.docx
02-23
根据攻击者对目标模型的了解程度,攻击可以分为白盒攻击黑盒攻击白盒攻击假设攻击者完全掌握模型的内部结构,而黑盒攻击则不然,攻击者只能通过模型的输入和输出来实施攻击。在实际应用中,由于获取模型内部信息...
软件测试技术之:白盒测试和黑盒测试
03-23
白盒测试和黑盒测试 目录 1.软件测试基本分类...1 2.测试方法...2 2.1白盒测试...2 2.1.1语句覆盖...2 2.1.2判定(分支)覆盖...3 2.1.3条件覆盖...3 2.1.4判定/条件覆盖...4 2.1.5多重条件覆盖...5 2.1.6...
学习笔记——对抗攻击模型
Clichong
07-15 2979
以下内容来源与李宏毅老师的课程。 文章目录一、攻击1.对抗攻击基本概念2.对抗攻击类型1)白盒攻击2)黑盒攻击3.对抗攻击例子**1)Universal Adversarial Attack(通用对抗攻击)****2)Adversarial Reprogramming(对抗性重编程)****3)Attack in the Real World**二、防御1.Passive defense1)Feature Squeeze2)Randomization at Inference Phase2.Proacti
基于决策的黑箱攻击——Boundary Attack
tyh70537的博客
05-20 3242
一、引言 基于决策的黑箱攻击对抗攻击的一大类,优点是不需要目标模型的任何信息,只需要知道目标模型对于给定输入样本的决策结果。本文主要介绍基于决策的黑箱攻击的开山之作——Boundary Attack,论文为: Brendel W A R J. Decision-based adversarial attacks: reliable attacks against black-box machine learning models. arXiv preprint arXiv:1712.04248, 201
简述黑盒检测与白盒检测
最新发布
05-12
黑盒检测和白盒检测是软件测试的两种基本方法。 黑盒测试:在黑盒测试中,测试人员不需要知道被测试的软件的内部结构或实现细节。测试人员只需要输入一些测试数据,然后观察软件的输出结果是否符合预期。黑盒测试方法主要针对软件的功能性需求进行测试,例如输入正确的用户名和密码是否可以成功登录系统。 白盒测试:在白盒测试中,测试人员需要了解被测试软件的内部结构和代码实现细节。测试人员可以通过查看源代码和执行路径等方式来测试软件的正确性、安全性和性能等方面。白盒测试方法主要针对软件的非功能性需求进行测试,例如性能、安全和可维护性等。 总之,黑盒测试和白盒测试各有优劣,可以根据实际情况选择适合的测试方法。黑盒测试适合测试软件的功能性需求,而白盒测试适合测试软件的非功能性需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值