对抗攻击(白盒与黑盒攻击)

最新推荐文章于 2025-03-05 16:47:27 发布
最新推荐文章于 2025-03-05 16:47:27 发布
阅读量3.6k 收藏 23
点赞数 10
文章标签: 网络安全 深度学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62591453/article/details/135372855
版权
本文探讨了对抗攻击的概念,如何通过添加微小扰动影响模型预测,以及白盒、黑盒和灰盒攻击的不同策略。重点介绍了在训练、测试和部署阶段的攻击形式,以及针对模型防御的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对抗攻击

        对抗攻击:通过对输入添加微小的扰动使得分类器分类错误。应用场景包括目前大热的CV和NLP方向,例如、通过对图片添加精心准备的扰动噪声使得分类错误,或者通过对一个句子的某些词进行同义词替换使得情感分类错误。

(简单举个例子:就是图片识别分类 将图片输入卷积神经网络中可能会得到很好地分类效果,但是但我们加入一个微小的\xi(人眼无法观察到的扰动),模型就有可能会遭受欺骗,从而造成分类结果的不准确,从而输出错误的结果。)

        关于攻击的类型有很多种,从攻击环境来说,可以分为黑盒攻击、白盒攻击或者灰盒攻击。      

1、白盒攻击

白盒攻击是指攻击者具有完全的内部信息和访问权限,可以全面了解目标模型的结构、参数、算法和训练数据等细节。在这种情况下,攻击者可以直接分析和修改模型的内部元素来进行攻击。白盒攻击的常见方法包括梯度攻击、模型逆向和模型篡改等。

例:

白盒攻击知道模型的全部内容,通过修改修改图像分类,来获取在模型中对图像分类中的梯度,不断修改调整,将图像数组近似可能的分类成修改的标签。

2、黑盒攻击

        黑盒攻击是指攻击者对目标模型缺乏完全的内部信息和访问权限,只能通过输入和输出来观察模型的行为。在黑盒攻击中,攻击者通常通过试探和分析来推断模型的行为,并生成特定的输入以欺骗或破坏目标模型。黑盒攻击通常采用基于分数的攻击方法,攻击者可以根据目标模型的分类结果和每个类别的分数来设计对抗样本的生成算法。

攻击者对攻击的模型的内部结构,训练参数,防御方法(如果加入了防御手段的话)等等一无所知,只能通过输入输出与模型进行交互。(黑盒攻击与白盒不同地便是,第二步,无法得到梯度,只能随机地调整图像,直到模型将其分类到y1或者超出时间限制)

3、灰盒攻击

灰盒攻击是指攻击者能够获得部分神经网络模型的参数,可以根据这些参数对神经网络发起攻击。这种攻击方式介于白盒攻击和黑盒攻击之间,攻击者对目标模型的内部信息有一定的了解,但不如白盒攻击那么详细。

对抗攻击可以分为三类:训练阶段的攻击、测试阶段的攻击、模型部署阶段的攻击。模型部署阶段的攻击与测试阶段的攻击十分类似。

(1)训练阶段的攻击就是在在目标模型的训练阶段,对手通过修改训练数据集、操纵输入特征或数据标签来实施攻击。

(2)测试阶段的对抗性攻击可以分为白盒攻击和黑盒攻击

基于深度学习对抗攻击发展研究
11-09
基于深度学习对抗攻击发展研究
对抗攻击算法总结论文集合(白盒黑盒、目标检测、对抗训练等)
热门推荐
ji_meng的博客
04-09 2万+
文章目录一、白盒攻击1.FGSM2.JSMA:3.DeepFool:4.CW:5.PGD:二、黑盒攻击1.单像素攻击2.基于查询3.基于迁移4.基于替代5.其他三、对抗攻击目标检测四、对抗训练&鲁棒性 只是一个自己看过的论文小汇总,还不能当综述,但也包含了很多经典的对抗攻击算法,方便回顾和查询,自己看的第一篇综述是: Advances in adversarial attacks and defenses in computer vision: A survey 论文这件事,真的只能多看,上学期看
【大模型安全】模型对抗攻击手段
最新发布
大河之犬的博客
03-05 1476
对抗攻击通过对输入数据增加一些不易受到人类感知的扰动,使得模型在输入数据上产生错误的输出结果,从而干扰或破坏模型的性能和可靠性。数据投毒等攻击手段需要攻击者控制训练集等,而对抗攻击仅需针对模型生成特定扰动对抗攻击的核心思想是通过对输入数据进行微小的扰动,使其几乎无法被人眼察觉,但会对模型的预测结果产生显著影响。这些微小的扰动包括添加、删除或修改输入数据中的一些特征。例如,在图像分类任务中,对抗攻击者可以通过微调像素值或添加噪声,使图像看起来原始图像几乎没有差异,但却能使模型将其错误分类。
初探对抗攻击——黑盒攻击&白盒攻击
WwwwHy搞的烂活
10-23 1万+
# 系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录# 系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,
图像分类白盒对抗攻击技术总结
十二月未央未眠
04-20 6450
目录1.对抗攻击背景知识2.白盒攻击技术2.1 基于直接优化得攻击方法2.1.1 基于 Box-constrained L-BFGS 的攻击2.1.2 C&W 攻击2.2 基于梯度优化的攻击方法2.2.1 FGSM 攻击(基于一步梯度计算的对抗样本生成算法)2.2.2 I-FGSM 攻击(迭代的FGSM算法)2.2.3 PGD攻击(迭代的 FGSM 算法, I-FGSM 攻击类似)2.2.4 MI-FGSM 攻击(基于动量的迭代生成对抗样本的 MI-FGSM 算法)2.3 基于决策边界分析的攻击
黑盒攻击白盒攻击
小姑仔的博客
07-25 2947
白盒攻击 假设我们图像的数组为x,模型已经正确分类到y_true,这时我们需要进行白盒攻击,微小地修改图像数组x使得模型将其分类到y1 给模型输入(x,y1)获取到模型在输入x上的梯度,这里的x便是图像的数组表示 依据梯度,在图像上进行调整,以达到减小误差,判断是否此时模型将其分类到y1 重复2、3步,直到模型将其分类到y1或者超出时间限制 使用的算法主要有两个思想:每次将梯度等比放大,至少最大值达到某个阈值(代码中为7);同时限定对图像调整的幅度noise在一定范围以内(代码中noise_limit为50
对抗攻击的类型介绍
tyh70537的博客
05-19 2380
对抗攻击的类型介绍 根据攻击者对目标模型(被攻击的模型)的了解程度不同,已有的对抗攻击大致可以分为两类:白箱攻击和黑箱攻击。 1 白箱攻击 在白箱攻击算法中攻击者知道目标模型的所有信息,包括模型的训练集、类型、结构以及参数。白箱攻击考虑的是在一种对攻击者而言极度理想的情况,虽然高估了攻击者的能力,但是可以用来评估机器学习模型的安全性的下限。此外,白箱攻击能够和后面将会提到的“基于迁移的攻击”相结合,因此研究白箱攻击意义还是很大的。 2 黑箱攻击 在黑箱攻击中,攻击者不知道目标模型的内部细节,只能够观察目标模
对抗攻击(Adversarial Attack)
ji_meng的博客
04-22 1万+
对抗攻击
white/black-box attack(黑盒白盒攻击基础)
山里娃的博客
03-29 7656
黑盒白盒攻击基础
Adversarial Attack (对抗攻击)
连理o的博客
09-19 5380
本文为李宏毅 2021 ML 课程的笔记 目录Basic ConceptsMotivationHow to Attack Basic Concepts Motivation Are networks robust to the inputs that are built to fool them? Useful for spam classification, malware detection, network intrusion detection, etc. How to Attack .
机器学习(13)——对抗攻击
weixin_53598445的博客
03-17 6233
文章目录前言1 原理2 攻击方式2.1 针对模型的攻击2.1.1 白盒攻击2.1.2 黑盒攻击2.2 针对输出的攻击2.2.1 无目标攻击2.2.2 有目标攻击3 对抗样本生成方式4 实例5 流程图 前言   在人工智能带来的风险中,对抗攻击就是重要风险之一。攻击者可以通过各种手段绕过,或直接对机器学习模型进行攻击达到对抗目的,使我们的模型失效或误判。如果类似攻击发生在无人驾驶、金融AI等领域则将导致严重后果。所以,需要未雨绸缪,认识各种对抗攻击,并有效地破解各种对抗攻击。 1 原理   对抗攻击最核心的手
EWR-PGD:白盒对抗攻击
05-24
高效的暖启动预计梯度下降(EWR-PGD) 我们提出了一种新的名为EWR-PGD的白盒对抗攻击方法,该方法超越了最新的攻击性能。 它比最新的方法更有效。 代码即将推出。 EWR-PGD和ODI-PGD的比较 当将模型降低到相同的精度时,EWR-PGD所需的重新启动次数明显少于ODI-PGD的重新启动次数。 EWR-PGD的速度大约是ODI-PGD的5倍。 图1.在10个最新的防御模型上,当EWR-PGD和ODI-PGD方法将模型降低到相同精度时,所需重启次数的比较(越低越好)。 这些模型可在线获得: 3个白盒排行榜上的结果 EWR-PGD在TRADES白盒MNIST和CIFAR-10排行榜上排名第一,将MNIST模型的准确性降低到92.52%,将CIFAR-10模型的准确性降低到52.95%。 EWR-PGD在MardyLab的CIFAR-10白名单排行榜中也排名第一,将其CI
对抗样本攻击
06-01
对抗样本攻击的实现,运行test.py即可,如果想要测试其他图片可以修改代码中的图片路径。
AAAI 2021上对抗攻击(Adversarial Attack)】相关的论文(六篇)
02-28
基于对抗攻击(Adversarial Attack)相关的接受paper不少,这几年比如 对抗攻击、基于图数据的对抗攻击、NLP、CV上的攻击防御等等一些列前沿的方法和应用受到了很多人的关注,也是当前比较火的topic。
对抗样本攻击的机器学习
12-27
机器学习领域下的对抗样本攻击是目前研究的热点,这是伯克利分校的入门教材。
《计算机视觉对抗攻击防御》最新综述论文
09-05
论文中,对抗性攻击主要分为两类:白盒攻击黑盒攻击白盒攻击是指攻击者拥有对模型的完全访问权限,可以了解模型的内部结构和参数,从而设计出更有效的攻击策略。而黑盒攻击则是在攻击者对模型一无所知或仅了解...
二维对抗攻击演练:Jupyter笔记本探索白盒黑盒攻击
4. 黑盒攻击(Black-box Attacks):相对于白盒攻击黑盒攻击攻击者对模型的内部知识知之甚少或一无所知。在黑盒场景下,攻击者仅能通过观察模型的输入输出来尝试构造对抗性示例。因此,黑盒攻击往往需要更多的...
【简易的黑盒对抗攻击】Simple Black-box Adversarial Attacks
风口IT猪的成长录
09-26 693
在计算机视觉领域,对抗攻击(adversarial attack)旨在通过向图片中添加人眼无法感知的噪音以欺骗诸如图像分类、目标识别等机器学习模型。如下图所示,输入原图像,图像分类器给出的结果为“是熊猫的概率为57.7%”,而在给原图像加上一段噪音后,结果变成了“是长臂猿的概率为99.3%”,但对于人类来说,这两张图片几乎是一模一样的。经噪音干扰后的图像被称为对抗样本对抗攻击的主要研究内容之一就是如何获得这种噪音来生成对抗样本。
本地搜索攻击算法详解——DNN的黑盒对抗性扰动方法
qq_40479372的博客
06-29 1034
基于对抗的测试输入生成方法是从机器学习和深度学习的角度入手,通过向原始样本添加微小扰动的方式产生对抗样本,使DNN系统进行错误分类。其又分为白盒、灰盒和黑盒攻击,顾名思义,黑盒攻击就是在无法获取模型内部结构信息的情况下,仅通过模型的输入输出来生成对抗样本。本次讲解黑盒攻击的一个经典代表算法——本地搜索攻击算法(论文:《Simple Black-Box Adversarial Perturbations for Deep Networks》)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值