【AI安全之对抗样本】入门知识

已于 2022-02-27 13:53:28 修改
阅读量2.6k 收藏 22
点赞数 2
分类专栏: AI安全之对抗样本 文章标签: 人工智能 安全
于 2022-02-26 16:47:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/123152167
版权

文章目录

00 前言

【我的AI安全之路】以下内容适合于有web安全基础但对AI"一无所知"的师傅们

如果是有安全基础,想入门AI安全,可以看下以web安全为背景介绍AI安全的书:《Web安全之机器学习入门》和《Web安全之深度学习实战》,以及一本关于对抗样本的书:《AI安全之对抗样本入门》

01 深度学习脆弱性

1.1 偷取模型

根据深度学习模型对外提供服务的形式进行分类

①云模式的API:通过遍历算法,在调用云模式的API后,可以在本地还原出一个与原始模式功能相同的模型。

【补充知识】

  • 云API(官方定义):指开发者可以使用云应用编程接口编码,而这个接口具备一项云提供商的服务。但是同时对于云应用也是危险的,因为API也具备受攻击的一面,可能危害敏感业务数据。这意味着提供商和软件开发者需要按优先次序确定云API的安全。

  • 关于云API的安全防御问题

    • 开发者应该使用无会话安全实践,别不HTTP认证,基于口令的认证或者Web服务安全。无会话安全也促进了更好地云服务可扩展性,因为任何服务器都可以处理用户请求,而且无需在它们之间共享会话。

    • 开发者应该确定是否一个API执行了第二次安全检查,比如用户是否有合适的授权去查看、编辑或者删除服务和数据。一旦最初的认证是清晰的,开发者通常忽略了第二次的安全策略。

    • 云提供商和开发者应该针对常见威胁测试云API安全,比如注入式攻击和跨站伪造。对于云服务提供商正在创建的API,测试尤为重要。然而,用户应该独立的核实云API安全,因为其对于审计和法规遵从非常重要。

    • 如果加密密钥是API调用访问和认证方法论的一部分,就要安全地存储密钥,而且永远不要将其编码到一个文件或者脚本里面。

②私有部署到用户的移动设备或数据中心的服务器上:通过逆向等传统安全技术,把模型文件直接还原。(eg:通过调用AI SDK 的API还原模型文件)

1.2 数据投毒

  • 数据投毒:指向深度学习的训练样本中加入异常数据,导致模型在遇到某些条件是会产生分类错误。

  • 攻击方式

    ①通过在离线数据中添加精心构造的异常数据进行攻击,这一方式需要接触到模型的训练数据,但是攻击者半已接触到训练数据,攻击难以发生。

    ②利用在线数据(典型的场景:推荐系统),通过一定的算法策略,发起访问行为,最终导致系统产生错误。

02 对抗样本(adversarial examples)

2.1 对抗样本定义

在数据集中通过故意添加细微的干扰所形成的输入样本,这种样本导致模型以高置信度给出一个错误的输出。简单地讲,通过在原始数据上叠加精心构造的人类难以察觉得扰动,使深度学习模型产生分类错误

【补充知识】

机器学习的本质是对条件概率或概率分布的估计

所以机器学习会涉及到统计学中的置信区间和置信度等机器学习常用指标,这些概念有助于我们从直观上理解评价估计优劣的度量方法。这里有两篇文章解释了这些概念:关于置信区间和置信度的理解机器学习常用指标

2.2 对抗样本原理

以经典的二分类问题为例,机器学习模型通过在样本上训练,学习出一个分割平面,在分割平面的一侧的点都被识别为类别一,在分割平面的另外一侧的点都被识别为类别二。

对抗样本的基本原理

对抗样本的基本原理

生成攻击样本时,我们通过某种算法,针对指定的样本计算出一个变化量,该样本经过修改后,从人类的感觉无法辨识,但是却可以让该样本跨越分割平面,导致机器学习模型的判定结果改变。

2.3 针对图像分类模型的对抗样本示例

通过在原始图像上添加扰动,对肉眼来说看似还是一只熊猫,但是分类模型会以很大的概率识别为长臂猿。
在这里插入图片描述

2.4 对抗样本按照攻击后的效果分类

  • 定性攻击(Targeted Attack)

    在攻击前会设置攻击目标,攻击后的效果是确定的

  • 无定向攻击(Non-Targeted Attack)

    不设置攻击目标,只要攻击后的目标发生改变即可

在这里插入图片描述

2.5 对抗样本按照攻击成本分类

  • 白盒攻击(White-Box Attack)

    攻击难度低;前提是能够完整获取模型的结构,包括模型的组成以及隔层的参数情况,并且可以完整控制模型的输入,对输入的控制粒度甚至可以到比特级别。
    在这里插入图片描述

  • 黑盒攻击(Black-Box Attack)

    攻击难度大;完全把被攻击模型当成黑盒,对模型的结构没有了解,只能控制输入,通过比对输入和输出的反馈来进行下一步攻击
    在这里插入图片描述

  • 真实世界/物理攻击(Real-World attack/Physical Attack)

    难度最大;不了解结构,且对输入的控制很弱。

03 常见检测和加固方法

3.1 攻击方法(脆弱性检测)

  • 白盒攻击算法列举:

    最相似迭代算法(ILCM)

    快速梯度算法(FGSM)

    基础迭代算法(BIM)

    显著图攻击算法(JSMA)

    DeepFool算法

    C/W算法

  • 黑盒攻击方法列举:

    单像素攻击(Single Pixel Attack)

    本地搜索攻击(Local Search Attack)

3.2 防御方法(脆弱性加固)

  • 加固的常见方法:

    特征凝结(Feature squeezing)

    空间平滑(Spatial smoothing)

    标签平滑(Label smoothing)

    对抗训练(Adversarial training)

    虚拟对抗训练(Virtual adversarial training)

    高斯数据增强(Gaussian data augmentation)

  • 对抗训练(Adversarial training):让深度学习模型认识常见的对抗样本,具有识别对抗样本的能力。(对抗样本工具箱:AdvBox、FoolBox)

    高斯数据增强(Gaussian data augmentation):在原始数据上叠加高斯噪声,训练数据叠加噪声后,重新输入给深度学习模型学习,通过增加训练轮数、调整参数甚至增加模型层数,在不降低原有模型准确度的情况下,让新生成的深度学习模型具有了一定的识别对抗样本的能力。
    在这里插入图片描述

04 总结

以上知识点就是接下来AI安全对抗样本的学习路线,像我一样有web安全基础但对AI没有基础的情况下,算法是比较有难度的,里面有很多高等数学,线性代数,概率统计,离散数学有关的知识点,这是一个挑战,也怪我以前没好好学。

吃_早餐
关注
  • 2
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Pytorch实现数字对抗样本生成全套代码(GAN)
05-06
利用GAN的思想,进行数字对抗样本生成,以LeNet作为图像分类模型,LeNet是一个小型的神经网络结构,仅包含两层卷积层、两个池化层以及三层全连接。该轻量级网络能快速、占内存小、高精确度的解决复杂度比较低的问题,如手写数字识别。 (步骤1)用LeNet网络完成手写数字识别任务。 (步骤2)利用对抗样本工具包生成针对该网络的对抗样本。 整体包括一下部分 步骤1:用`LeNet网络`完成手写数字识别任务。 LeNet 网络 数据集的下载和预处理 Image displaying pytorch 搭建LeNet LetNet 训练 超参数的设置 训练及测试模型 可视化误差曲线,准确率曲线 结果可视化,查看每一类的准确率 模型的保存与加载 步骤2:生成针对该网络的对抗样本。 威胁模型 快速梯度符号攻击 定义扰动上限 epsilons 被攻击的模型 FGSM 攻击方式 测试函数 启动攻击 对抗结果 准确性 vs Epsilon 样本对抗性示例
pytorch 对抗样本_AI安全对抗样本入门-基于PyTorch的FGSM攻击
weixin_39553156的博客
12-19 762
对抗样本由Christian Szegedy等人提出,是指在数据集中通过故意添加细微的干扰所形成的输入样本,导致模型以高置信度给出一个错误的输出。对抗样本是各种机器学习系统需要克服的一大障碍。它们的存在表明模型倾向于依赖不可靠的特征来最大限度的提高性能,如果受到干扰,可能会导致错误分类,带来潜在的灾难性后果。对抗样本人工智能面料的最大的安全风险之一。快速梯度符号攻击Fast Gradient S...
机器学习安全对抗样本与模型防御
禅与计算机程序设计艺术
02-03 727
1.背景介绍 在过去的几年里,机器学习已经在各种领域取得了显著的进步,从图像识别、自然语言处理到推荐系统,机器学习模型已经广泛应用于我们的日常生活。然而,随着机器学习的广泛应用,其安全性问题也日益凸显。对抗样本(Adversarial Examples)是近年来机器学习安全领域的热门研究话题,它通过在原始输入数据中添加微小的扰动,使得机器学习模型产生错误的预测,而这些扰动对人类来说几乎是不可察觉...
对抗样本(一)以综述入门
白丁的博客
02-20 1万+
一、论文相关信息   1.论文题目     Adversarial Examples: Attacks and Defenses for Deep Learning   2.论文时间     2017年   3.论文文献     https://arxiv.org/abs/1712.07107 二、论文背景及简介   随着深度学习的快速发展与巨大成功,深度学习被应用在许多对安全有严格要求的环境中...
对抗样本机器学习_Note1
兔角与禅
12-05 4256
对抗样本机器学习_Note1
对抗机器学习 —— foolbox使用
jmhIcoding
09-29 7547
foolbox是另外一个对抗机器学习库。 安装方法: pip3 install foolbox 测试代码: 使用VGG19 预训练模型,攻击猫图片。 __author__ = 'dk' import tensorflow as tf import matplotlib.pyplot as plt from tensorflow.contrib.slim.nets import vgg impor...
【机器学习】什么是对抗样本对抗样本原理及分析.mp4
06-29
【机器学习】什么是对抗样本对抗样本原理及分析,原作者Arxiv Insights。对抗样本由Christian Szegedy等人提出,是指在数据集中通过故意添加细微的干扰所形成的输入样本,导致模型以高置信度给出一个错误的输出。在正则化背景下,通过对抗训练减少原有独立同分布的测试集的错误率——在对抗扰动的训练集样本上训练网络。对抗样本也提供了一种实现半监督学习的方法。
对抗样本入门详解
山里娃的博客
09-01 8647
对抗样本基本原理
AI安全对抗样本】深度学习基础知识(二)
m0_52923241的博客
03-01 4138
文章目录00 前言01 深度学习训练过程02 优化器(optimizers)2.1 梯度算法2.2 常用的优化器2.2.1 SGD2.2.2 Adagrad2.2.3 Adadelta2.2.4 RMSprop2.2.5 Adam2.3 如何使用优化器(optimizers)03 总结 00 前言 【我的AI安全之路】以下内容适合于有web安全基础但对AI"一无所知"的师傅们 如果是有安全基础,想入门AI安全,可以看下以web安全为背景介绍AI安全的书:《Web安全之机器学习入门》和《Web安全之深度学习实
什么是对抗样本、对抗攻击(详解)
热门推荐
10-18 2万+
1.对抗样本 所谓对抗样本就是指:在原始样本添加一些人眼无法察觉的扰动(这样的扰动不会影响人类的识别,但是却很容易愚弄模型),致使机器做出错误的判断。 如下所示,这两张图片添加噪声(或者说扰动之后)被误分类。 2.对抗攻击 由于机器学习算法的输入形式是一种数值型向量(numeric vectors),所以攻击者就会通过设计一种有针对性的数值型向量从而让机器学习模型做出误判,这便被称为对抗性攻击。(也可以这样理解:将上面生成对抗样本的过程,理解为对抗攻击。) 和其他攻击不同,对抗性攻击主要.
AI安全对抗样本】深度学习基础知识(一)
m0_52923241的博客
02-27 1232
文章目录00 前言01 深度学习的基本过程及相关概念1.1 深度学习的基本过程1.2 数据预处理1.3 网络结构1.3.1 Dense层(全连接层)1.3.2 Activation层(激活层)1.3.3 Dropout层(随机失活层)1.3.4 Embedding层(嵌入层)1.3.5 Flatten层1.3.6 Permute层1.3.7 Reshape 层1.4 损失函数1.5 范数1.5.1 L0范数1.5.1 L1范数(曼哈顿距离/最小绝对误差)1.5.1 L2范数1.5.1 无穷范数03 总结 0
AI安全对抗样本.pptx
12-03
对抗样本入门级论文的PPT总结 包括入门级的六篇论文以及总结展望,希望有从事AI安全的朋友前来交流 目前正在从事AI安全方面的工作,如果做的有不好的地方,大家多多指出
adversarial_examples:对抗样本
05-17
AI安全对抗样本入门》 编辑推荐 本书系统介绍对抗样本的基本原理,从相关的背景知识开始,包含搭建学习对抗样本的软硬件环境、常用工具,带领读者快速上手实践。本书作者在安全领域有多年实践经验,对业界常见的...
AI安全——对抗样本技术综述与应用.pdf
08-14
AI安全——对抗样本技术综述与应用 安全生态
pytorch_FGSM_对抗样本
08-01
pytorch_FGSM_对抗样本,可直接运行,论文《Adversarial Examples in the Physical World》
我用AI帮我画刘亦菲写真,绘画写真某一天是否可以取代照相馆?
一个专注于技术研究创新的程序员
04-18 1789
最近我试了用FaceChain人物写真生成来测试帮我绘图,为了不翻车,我在网上随便找了刘亦菲的日常照片10多张左右作为训练原图。我用AI帮我画刘亦菲写真,绘画写真某一天是否可以取代照相馆?
ai智能名片生成器源码系统 一键生成数字名片 打造定制化的商务社交平台
最新发布
duizhangdaren的博客
04-22 500
在数字化时代,商务交流方式正在发生深刻变革。分享一个ai雷达智能名片生成器源码系统,源码开源可二开,含完整代码包和详细的安装部署搭建教程,让技术小白也能轻松上手,让您一键生成数字名片,打造定制化的商务社交平台。比如:多少人阅读了我们的朋友圈文章,多少人转发了我们文章,访问者在文章停留了多久,甚至具体什么人访问了我们的文章等。比如有多少人访问了名片,什么人访问了名片,访问了多久,第几次访问等等。2. 现有客户留存,人工智能名片系统能帮你发现什么客户很久没有关注你的名片了,那么就可以及时做出客户的留存了。
从预训练损失的角度,理解语言模型的涌现能力
wwlsm_zql的博客
04-20 1012
本文从预训练损失的角度重新审视语言模型的涌现能力,挑战了以往以模型大小或训练计算量为标准的观念。通过实验,作者发现预训练损失是预测下游任务性能的关键指标,不同规模的模型在相同预训练损失下展现相似性能。这一新视角为理解语言模型涌现能力提供了理论基础,并指出了在更小规模模型上复现或超越大型模型涌现能力的可能性。
弱光图像增强 | 基于TensorFlowLite+TensorRT加速的MIRNet弱光图像增强实现
极智视界
04-18 658
弱光图像增强 | 基于TensorFlowLite+TensorRT加速的MIRNet弱光图像增强实现
ai安全对抗样本入门
11-10
对抗样本是指通过对输入数据进行微小改动,就能够欺骗人工智能系统,导致系统产生误判或错误行为的样本。对抗样本AI安全领域的一个重要问题,因为它可能导致人工智能系统在实际应用中产生严重后果。 对抗样本的生成方法有很多,包括添加噪音、修改像素值等。对抗样本的目的是让系统误判,以此来测试和评估AI系统的安全性和鲁棒性。对抗样本的设计是一个技术活,需要深入理解AI模型的工作原理,并且具备一定的数学和算法基础。 对抗样本研究的目标之一是找到一种普遍适用于各种AI模型的对抗样本生成方法。目前已经有一些方法被提出,如FGSM(快速梯度符号法)、PGD(投影梯度下降法)等。这些方法通过在输入样本中添加或修改一些微小的扰动,能够使得AI系统出现误判。 AI安全领域研究对抗样本的目的是提高AI系统的鲁棒性和安全性。通过研究对抗样本,可以帮助发现和修复AI系统在实际应用中存在的漏洞和缺陷。同时,对抗样本的研究也有助于推动AI系统的发展,使其更加健壮和可靠。 然而,对抗样本也可能被恶意使用,例如攻击识别系统、篡改图像等。因此,研究对抗样本不仅要关注如何生成对抗样本,还要关注如何防御和抵抗对抗样本攻击。AI安全研究者需要不断改进算法和技术,提高AI系统的对抗样本鲁棒性。 总之,对抗样本AI安全领域的一个重要问题。研究对抗样本有助于发现和修复AI系统的漏洞和缺陷,提高AI系统的鲁棒性和安全性。然而,对抗样本研究也需要关注如何防御和抵抗对抗样本攻击,以确保AI系统能够在实际应用中的安全可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值