通用扰动攻击(Universal Perturbation Attack)和对抗样本攻击(Adversarial Example Attack)是两种不同的攻击方法,它们有一些区别和相似之处。
-
对抗样本攻击(Adversarial Example Attack): 对抗样本攻击是一种以特定输入数据样本为目标的攻击方法。攻击者寻找一种扰动,将原始输入数据样本修改为对抗样本,以使模型在对抗样本上产生错误的输出。对抗样本攻击通常专注于欺骗模型的个别数据样本,目标是在特定输入上实现攻击成功。(eg.在单个样本上添加扰动生成对抗样本,试图成功欺骗所有的模型。)
-
通用扰动攻击(Universal Perturbation Attack): 通用扰动攻击是一种更通用的攻击方法,攻击者寻找一种扰动,可以应用于大量输入数据样本,而不是特定的单个样本。这种扰动对不同的输入样本都有效,它的目标是使模型在整个数据集上产生错误的输出。通用扰动攻击更具广泛性,因为它不仅仅针对单个样本,而是试图影响整个数据分布。(eg.找到一种扰动,放无论哪一个样本上,都能欺骗模型。)
相似之处:
- 两种攻击方法都旨在欺骗机器学习模型,以使其在某些输入上产生错误的输出。
- 它们都涉及到寻找一种扰动,可以应用于输入数据以实现攻击目标。
不同之处:
- 对抗样本攻击专注于特定的输入数据样本,通常通过微调扰动来使模型在特定样本上产生错误的输出。
- 通用扰动攻击更通用,可以应用于多个输入数据样本,通常使用一种单一的扰动来欺骗模型,从而影响整个数据分布。
这两种攻击方法都对模型的鲁棒性构成威胁,因此研究如何防御和检测这些攻击是机器学习安全性领域的重要课题。