Boosting Black-Box Attack with Partially Transferred Conditional Adversarial Distribution

已于 2022-10-18 22:10:23 修改
阅读量582 收藏 1
点赞数 2
分类专栏: 对抗攻击 文章标签: 人工智能 机器学习 boosting
于 2022-10-18 22:04:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49171105/article/details/127394772
版权

这项工作研究了针对深度神经网络 (DNN) 的黑盒对抗性攻击,其中攻击者只能访问被攻击的 DNN 模型返回的查询反馈,而模型参数或训练数据集等其他信息是未知的。提高攻击性能的一种有前途的方法是利用一些白盒代理模型和目标模型(即被攻击模型)之间的对抗性可迁移性。然而,由于代理模型和目标模型之间的模型架构和训练数据集可能存在差异,被称为“代理偏差”,对抗性可迁移性对提高攻击性能的贡献可能会被削弱。为了解决这个问题,我们创新地提出了一种黑盒攻击方法,通过开发一种对抗性可转移性的新机制,该机制对代理偏差具有鲁棒性。总体思路是将代理模型的条件对抗分布(CAD)的部分参数转移,同时根据对目标模型的查询学习未转移的参数,以保持在任何新的良性样本上调整目标模型的 CAD 的灵活性。

本文采用了条件生成流模型,称为c-Glow,其一般思想是通过可逆网络将简单分布(如高斯分布)可逆地映射为复杂分布,如图1(a),此外,我们开发了一种基于 7,而不是代价高昂的生成对抗性扰动,从而可以高效、准确地逼近代理模型的CAD。

文章贡献:

  1. 通过设计一种新的对抗传输机制,我们提出了一种有效的黑箱攻击方法,该机制只传输条件对抗分布的部分参数,对代理模型和目标模型之间的代理偏差具有鲁棒性
  2. 我们是第一个使用c-Glow模型近似CAD的人,并设计了一种基于随机采样扰动的高效训练算法。
  3. 大量实验表明,通过同时提高攻击成功率和查询效率,所提出的攻击方法优于几种最先进的(SOTA)黑盒方法

方法:

黑盒攻击的问题表述

扰动范围\mathbb{B}_\epsilon=\left\{\boldsymbol{\eta} \mid \boldsymbol{\eta} \in \mathbb{R}^n,\|\boldsymbol{\eta}\|_p \leq \epsilon\right\}

攻击问题可以表述为最小化\mathbb{L}_{adv }

\mathbb{L}_{adv }是一个非负的数,如果为0 ,则对应的扰动是一个成功的扰动 

条件对抗建模

使用c-Glow模型对CAD建模

c-Glow可以表示为反函数

可以进一步分解为M逆函数的组成 

 c-Glow模型可以由具有M层的神经网络表示(M设置为3)。每层由一个条件actnorm模块、一个条件1×1卷积模块和一个条件耦合模块组成。c-Glow的一般结构如图1(a)所示。

用c-Glow近似CAD

给定x的扰动条件似然可以表示为:

 基于能量的模型

为了获取扰动在x周围的分布,定义了一个基于能量的模型

 并且,设置:

 Minimization of KL divergence

给定一个良性样本,θ的学习被表示为以下目标的最小化:

采用基于梯度的方法来优化这个问题 ,定理1,是L关于θ的梯度

 CG-ATTACK

基于进化策略(ES )的攻击方法:

ES的一般思想是引入搜索分布来采样多个扰动η,然后将这些扰动输入目标模型,以评估相应的目标值Ladv(η,x,y),然后根据一些策略(例如,Natural ES[52,53],CMA-ES[19])来更新搜索分布的参数。重复此过程,直到发现一个成功的对抗扰动(即Ladv(η,x,y)=0)。
我们没有像TREMBA和N ATTACK中那样采用简单的高斯分布作为搜索分布,而是将搜索分布指定为由c-Glow模型建模的CAD

一种新颖的CAD传输机制。:

上述基于ES的黑盒攻击方法的一个主要挑战是,c-Glow模型的参数明显多于高斯模型,并且可能需要更多的查询来学习好的参数。因此,我们求助于对抗性迁移,即首先使用第3.2.3节中的学习算法学习基于一些白盒代理模型的c-Glow模型,然后将此学习的c-Glov模型转换为近似目标模型的CAD。然而,如第3.1节所述,由于代理偏差,代理模型和目标模型的CAD应该不同。整个c-Glow模型的转移可能会导致负转移,从而损害攻击性能。因此,我们提出了一种新的传输机制,即只传输c-Glow模型的映射参数φ,而其余的高斯参数μ和σ是根据对目标模型的查询来学习的,如图1(c)所示。

我们认为,这种部分转移机制有两个主要优点。1) 它保持了在当前受攻击样本x上自动调整目标模型CAD的灵活性,以减轻由于模型架构和训练样本的代理偏差而可能产生的负面影响。2) 由于这种转移只与条件概率Pθ(η|x)有关,而与边际概率P(y)无关,因此它应该对训练类标签的替代偏差具有鲁棒性。上述优点使得利用这种部分传输机制的攻击方法在实际场景中更加实用,尤其是在开放集场景中。将基于ES的攻击与基于条件发光模型的部分传输机制相结合的攻击方法称为CG-ATTAC 

降维:

这里我们还将降维技术与CG-ATTACK相结合。具体来说,我们采用了基于离散余弦变换(DCT)的技术。算法1总结了使用DCT的CG-ATTACK的一般过程,其中我们采用了一种流行的基于ES的方法变体,即协方差矩阵自适应进化策略(CMAES)[19]作为基本算法。

 结论:

这项工作提出了一种新的基于分数的黑盒攻击方法,称为CG-attack。其主要思想是开发一种新的对抗性可转让机制,该机制对代理偏差具有鲁棒性。更具体地说,我们建议只传递代理模型CAD部分参数,而其余参数则根据对目标模型的查询进行调整。我们利用强大的c-Glow模型对CAD进行精确建模,并开发了一种基于随机采样扰动的新型高效学习方法。在封闭集和开放集场景中,对两个基准数据集上的四个DNN模型进行了广泛的实验,以及对真实API的攻击,充分验证了CG-attack的优越攻击性能。

你今天论文了吗
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVPR 2019 | 针对人脸识别系统的高效黑盒对抗攻击算法
Paper weekly
12-01 8472
本工作提出了一种高效的基于决策的黑盒对抗攻击算法,在业内第一次以完全黑盒的方式成功地实现对人脸识别系统的对抗攻击。本工作由腾讯 AI Lab 主导,与清华大学,香港科技大学联合完成,发表...
黑盒攻击的分类_「图像分类」图像分类中的对抗攻击是怎么回事?
weixin_39603613的博客
12-23 587
欢迎大家来到图像分类专栏,深度学习分类模型虽然性能强大,但是也常常会因为受到小的干扰而性能崩溃,对抗攻击就是专门研究如何提高网络模型鲁棒性的方法,本文简要介绍相关内容。作者 | 郭冰洋编辑 | 言有三1 简介对于人类而言,仅仅通过所接收到的视觉信息并不能完全帮助我们做出正确、迅速的判定,还需要结合我们的生活经验做出相应的反应,以确定哪些信息是真实可靠的,而哪些信息是虚假伪造的,从而选取最适合的信息...
CAD系统事务的代理模型.pdf
08-05
CAD系统事务的代理模型.pdf
深度学习常见名词概念:Sota、Benchmark、Baseline、端到端模型、迁移学习等的定义
热门推荐
Hanze的博客
11-15 6万+
深度学习:Sota的定义 sota实际上就是State of the arts 的缩写,指的是在某一个领域做的Performance最好的model,一般就是指在一些benchmark的数据集上跑分非常高的那些模型。
深度神经网络是什么意思,人工神经网络英文缩写
纸尿裤排行
09-01 311
你好,我的工作主要就是研究DNN,RNN等神经网络。书籍什么的好像真的比较少,CSDN上好像有分享,我平时用来查阅的书是《PatternRecognitionandMachineLearning》,这本书是将模式识别的,里面有神经网络的内容。不过,现在有各种各样的帖子和博客在探讨DNN或是其他神经网络,其中有很多讲的深入浅出,非常适合初级和进阶学习,如:。当然CSDN上有无穷无尽的大牛,你自己探索一下便能很快入门。...
CVPR 2022 | Glow模型助力黑盒对抗攻击
我爱计算机视觉
12-26 546
近日,清华大学,香港中文大学(深圳)等单位联合发表了一篇在对抗机器学习领域中黑盒攻击场景下的论文,已顺利被CVPR 2022接收。通过迁移一部分替代模型的条件对抗分布(CAD)的参数,同时根据对目标模型的查询学习剩下未迁移的参数,所提出的方法可以在任何新的正常样本上调整目标模型的 CAD以提高攻击性能。论文标题: Boosting Black-Box Attack with Partially T...
Targeted-Adversarial-Attack:一种有针对性的对抗攻击方法,赢得了NIPS 2017有针对性的攻击攻击竞赛
05-16
有针对性的专业攻击 介绍 该存储库包含提交给的前1名提交者的代码。... title={Boosting Adversarial Attacks with Momentum}, author={Dong, Yinpeng and Liao, Fangzhou and Pang, Tianyu and Su,
Boosting multi-step autoregressive forecasts.pdf
03-17
Boosting多步自回归预测》的论文探讨了在时间序列预测中,如何有效地处理多步预测的问题。多步预测是指需要对短期、中期或长期的未来数据进行预测的情况,常见于气象、通信和金融等领域。传统的做法有两种:一是...
基于Boosting-PLS回归的页岩总含气量预测方法
06-12
提出Boosting-PLS回归算法进行页岩总含气量的预测。提取最能反映含气性的密度、中子、铀、钍等测井信息,通过模型自动学习训练样本中输出曲线响应值与总含气量的响应关系,利用所得响应关系建立总含气量预测模型。
XGBoost: A Scalable Tree Boosting System-附件资源
03-05
XGBoost: A Scalable Tree Boosting System-附件资源
Free-Fire-boosting-with-p5.js:对Free Fire游戏中的武器类型进行角色图像处理和声音处理,以对其进行分类
05-25
用p5.js免费启动 为了对游戏进行分类,对角色图像进行处理,并对Free Fire游戏中的武器类型进行声音处理。 介绍 是手机上最好的生存大逃杀游戏之一。 该游戏由多达50名玩家组成,他们从降落伞跌落到一个小岛上,以...
本地搜索攻击算法详解——DNN的黑盒对抗性扰动方法
qq_40479372的博客
06-29 799
基于对抗的测试输入生成方法是从机器学习和深度学习的角度入手,通过向原始样本添加微小扰动的方式产生对抗样本,使DNN系统进行错误分类。其又分为白盒、灰盒和黑盒攻击,顾名思义,黑盒攻击就是在无法获取模型内部结构信息的情况下,仅通过模型的输入输出来生成对抗样本。本次讲解黑盒攻击的一个经典代表算法——本地搜索攻击算法(论文:《Simple Black-Box Adversarial Perturbations for Deep Networks》)
Efficient Decision-based Black-box Adversarial Attacks on Face Recognition
weixin_45184581的博客
11-17 1441
近年来,由于深度卷积神经网络(CNN)的巨大改进,人脸识别取得了显着进展。然而,深度 CNN 容易受到对抗性示例的影响,这可能会在具有安全敏感目的的现实世界人脸识别应用程序中造成致命的后果。对抗性攻击被广泛研究,因为它们可以在部署之前识别模型的漏洞。在本文中,我们评估了最先进的人脸识别模型在基于决策的黑盒攻击设置中的鲁棒性,其中攻击者无法访问模型参数和梯度,而只能获取硬标签通过向目标模型发送查询来进行预测。这种攻击设置在现实世界的人脸识别系统中更实用。
论文学习:Local Black-Box Adversarial Attacks:A Query Efficient Approach
weixin_42570231的博客
08-04 801
本文提出了一种新的黑盒查询效率框架来产生局部扰动。只扰动干净例子的区别区域,因为它们对模型的预测有更大的影响。在进行黑盒攻击的时候不是从零开始扰动一个干净的样本,而是先用白盒攻击产生一个初始对抗样本,以减少查询次数。实验结果表明,在参考模型性能有限的情况下,该框架能够降低查询开销,提高视觉效果和攻击成功率。.........
【论文翻译】高效的基于决策的人脸识别黑盒对抗攻击
Mrong1013967的博客
06-07 1714
摘要 近年来,由于深度卷积神经网络的巨大进步,人脸识别取得了显著的进展。然而,深层中枢神经系统容易受到对抗性例子的影响,这可能在具有安全敏感目的的现实世界人脸识别应用中导致致命的后果。敌对攻击被广泛研究,因为它们可以在部署模型之前识别模型的漏洞。在本文中,我们评估了最先进的人脸识别模型在基于决策的黑盒攻击环境中的鲁棒性,在黑盒攻击环境中,攻击者无法访问模型参数和梯度,只能通过向目标模型发送查询来获得硬标签预测。这种攻击设置在现实世界的人脸识别系统中更为实用。为了提高以往方法的效率,我们提出了一种进化攻击算
CVPR 2022 | 清华&港中大提出:Glow模型助力黑盒对抗攻击
阿木寺的博客
12-26 461
点击下方卡片,关注“CVer”公众号AI/CV重磅干货,第一时间送达点击进入—>CV微信技术交流群近日,清华大学,香港中文大学(深圳)等单位联合发表了一篇在对抗机器学习领域中黑盒攻击场景下的论文,已顺利被CVPR 2022接收。通过迁移一部分替代模型的条件对抗分布(CAD)的参数,同时根据对目标模型的查询学习剩下未迁移的参数,所提出的方法可以在任何新的正常样本上调整目标模型的 CAD以提高攻...
对抗攻击算法总结论文集合(白盒、黑盒、目标检测、对抗训练等)
ji_meng的博客
04-09 2万+
文章目录一、白盒攻击1.FGSM2.JSMA:3.DeepFool:4.CW:5.PGD:二、黑盒攻击1.单像素攻击2.基于查询3.基于迁移4.基于替代5.其他三、对抗攻击与目标检测四、对抗训练&鲁棒性 只是一个自己看过的论文小汇总,还不能当综述,但也包含了很多经典的对抗攻击算法,方便回顾和查询,自己看的第一篇综述是: Advances in adversarial attacks and defenses in computer vision: A survey 论文这件事,真的只能多看,上学期看
【对抗攻击论文】黑盒开篇:Practical Black-Box Attacks against Machine Learning
ji_meng的博客
06-23 1536
作为黑盒攻击的开篇,本文是基于迁移的黑盒攻击。由于不知道目标模型的内部结构,所以采用一个合成的数据集来训练一个本地替代模型DNN,接着采用雅可比数据增强的方式利用数据在目标模型上的输出更新数据集,再进行模型训练,以建立一个近似于oracle模型O的决策边界的模型F。 Sρ+1={x⃗+λ⋅sgn(JF[O(x⃗)]):x⃗∈Sρ}∪SρS_{\rho+1}=\{ \vec{x}+\lambda \cdot sgn(J_F[O(\vec{x})]):\vec{x} \in S_{\rho} \} \cup S
人工智能学术顶会——NeurIPS 2022 议题(网络安全方向)清单、摘要与总结
漏洞战争
07-09 3498
按语:随着大模型的崛起,将AI再次推向一个高峰,受到的关注也越来越大。在网络安全领域,除4大安全顶会外,一些涉及AI的安全话题,包括对AI的攻防研究,以及应用AI做安全的研究方向,也会发表在AI顶会上。但是,像NeurIPS 2022年的议题就有2834个(2023年还在 call for papers),手工翻一遍都得很久,何况还要分类出安全主题的,更是费劲,因此我利用AI去做主题分类,把感兴趣...
boosting-crowd-counting-via-multifaceted-attention-
最新发布
10-27
boosting-crowd-counting-via-multifaceted-attention是一种通过多方面注意力提升人群计数的方法。该方法利用了多个方面的特征来准确估计人群数量。 在传统的人群计数方法中,往往只关注人群的整体特征,而忽略了不同区域的细节。然而,不同区域之间的人群密度可能存在差异,因此细致地分析这些区域是非常重要的。 该方法首先利用卷积神经网络(CNN)提取图像的特征。然后,通过引入多个注意力机制,分别关注图像的局部细节、稀疏区域和密集区域。 首先,该方法引入了局部注意力机制,通过对图像的局部区域进行加权来捕捉人群的局部特征。这使得网络能够更好地适应不同区域的密度变化。 其次,该方法采用了稀疏区域注意力机制,它能够识别图像中的稀疏区域并将更多的注意力放在这些区域上。这是因为稀疏区域往往是需要重点关注的区域,因为它们可能包含有人群密度的极端变化。 最后,该方法还引入了密集区域注意力机制,通过提取图像中人群密集的区域,并将更多的注意力放在这些区域上来准确估计人群数量。 综上所述,boosting-crowd-counting-via-multifaceted-attention是一种通过引入多个注意力机制来提高人群计数的方法。它能够从不同方面细致地分析图像,并利用局部、稀疏和密集区域的特征来准确估计人群数量。这个方法通过考虑人群分布的细节,提供了更精确的人群计数结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值