高效的基于决策的黑盒攻击方法HSJA:HopSkipJumpAttack: A Query-Efficient Decision-Based Attack

最新推荐文章于 2022-05-11 11:42:43 发布
最新推荐文章于 2022-05-11 11:42:43 发布
阅读量6.8k 收藏 40
点赞数 10
分类专栏: 论文阅读 文章标签: 深度学习 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xunbaobao123/article/details/105350503
版权

高效的基于决策的黑盒攻击方法HSJA:HopSkipJumpAttack: A Query-Efficient Decision-Based Attack

目录

一.介绍

本文研究了在优化框架下的基于决策的攻击,并提出了一系列新颖的算法,用于生成针对性和非针对性的对抗性示例,这些示例针对“ 2-距离”或“∞距离”的最小距离进行了优化。 该算法本质上是迭代的,每个迭代涉及三个步骤:梯度方向的估计,通过几何级数进行的步长搜索和通过二分法的边界搜索。对优化框架和梯度方向估计进行了理论分析。这不仅为选择超参数提供了参考,而且还激发了所提出算法中的必要步骤。将该算法称为HopSkipJumpAttack2。

贡献:

  1. 仅基于对模型决策的访问,就提出了一种新颖的,无偏见的,在决策边界处的梯度方向估计,并提出了控制偏离边界的误差的方法。
  2. 基于提出的估计和分析,设计了一系列算法HopSkipJumpAttack,该算法没有超参数,查询效率高,并且具有收敛性分析。
  3. 通过广泛的实验,证明了所提出的算法优于几种基于决策的最新攻击方法的效率。
  4. 通过对几种防御机制的评估,防御蒸馏,基于区域的分类,对抗训练和输入二值化等,论文认为提出的攻击可以用作研究人员评估新防御机制的简单有效的第一步。

二.方法

2.1 优化框架

分类器C(模型):
在这里插入图片描述
给定一些输入x*,定义如下这样一个函数Sx*:
在这里插入图片描述
对于一个扰动图像x’,当且仅当Sx*(x’)>0,这是一个成功的攻击。在成功和不成功的扰动图片之间的边界的定义为:
在这里插入图片描述
论文使用布尔函数 φx来表示成功的扰动:
在这里插入图片描述
在基于决策的设置中,这个函数是可获得的,通过单独查询分类器C来计算函数值。一次对抗攻击的目标是产生对抗样本x’使得φx(x‘) = 1的同时,保证x’与原样本尽可能相似。可以被公式化为下面这个优化公式:
在这里插入图片描述
其中d是一个距离函数来衡量x’与x*的相似度,通常选择lp-norm(p=0,2, ∞)

2.2 对于l2距离的一个迭代算法

对于上述的优化问题,当d函数选取l2-norm时,首先指定一个迭代算法,可以访问梯度∇Sx*。给一个初始向量x0使得Sx*(x0)>0,一个步长序列{ξt}t≥0,迭代更新为:
在这里插入图片描述
其中,ξ是一个正步长,αt∈[0,1]是一个线性搜索参数被选择来使得Sx*(xt+1)=0,也就是新的迭代xt+1会在边界线上,这样选择的原因是后面所用到的梯度方向估计的方法仅在靠近边界时有效。

接下来,论文对上述迭代算法进行一个分析。

先列出一些假设,这些不做介绍,简单列举出来。1.Sx*函数是具有局部 Lipschitz梯度的二次可微的。2.梯度值是远离0的,也就是远离边界的。

其次,对算法的收敛性进行了一个证明。从角度去看:
在这里插入图片描述
r(x, x*)= 1的这种情况只会在x在优化为一个固定点的情况下发生。作者通过下面的理论1证明,通过一个适合的步长,更新是可以收敛到这样一个固定点的。
在这里插入图片描述
定理1的证明在论文的附录中也给出了。该定理也同时应用于后面选择合适步长的方法中。

2.3 扩展到L∞距离

在l2距离的迭代算法的基础上,针对l∞约束进行一个扩展。

首先,考虑点x在中心位于x 的半径αt的球面上的l2投影:
在这里插入图片描述
基于这个运算式,基于l2的迭代公式可以表示为:
在这里插入图片描述
有了这样的表达方式,我们就可以将算法推广到别的约束情况下。可以定义l∞下的投影(这里的定义不太知道怎么来的都是)。**在x的领域内对每一个像素进行clip,使得投影的第i项为**:
在这里插入图片描述
其中:
在这里插入图片描述
相应的有无穷约束下的迭代算法:
在这里插入图片描述
同样的,其中αt选来使得Sx* (xt+1) = 0,使用sign函数来返回向量中每一个元素的符号,这里使用梯度的符号是为了使得在实际中实现更快的收敛。

最低0.47元/天 解锁文章
2020拯救世界
关注
  • 10
    点赞
  • 40
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
黑盒攻击的分类_高效的基于决策的黑箱对抗攻击的人脸识别
weixin_39984105的博客
01-08 1188
引言针对当前的深度神经网络在人脸识别方面的应用,存在很多不安全的隐患,作者提出了一种针对深度神经网络的黑盒攻击攻击方法,提出了一种新的基于遗传算法攻击方法,数据集:Wild (LFW) and MegaFace实验结果表明:这种攻击方法即使在限制对模型的查询次数也很有效,并且将其用于真实的人脸识别环境中,也攻击成功了。1、介绍本文的主要贡献(1)提出了一个在基于决策黑盒场景下的进化攻击方法,可...
对抗攻击HopSkipJumpAttack
taoqick的专栏
05-03 633
:转载自【Talk预告 | 几何的魅力: 黑盒攻击新策略】https://www.bilibili.com/video/BV1fd4y177tX?HopSkipJumpAttackHopSkipJumpAttack: A Query-Efficient Decision-Based Attack):分类和梯度决策面是垂直的关系,通过几何方法寻找决策边界的对抗样本。非目标攻击:从类别A攻击成其他非A的类别。
黑盒攻击笔记】查询次数の极大减少!Sign-OPT: A Query-Efficient Hard-label Adversarial Attack(对比HopSkipJumpAttackHSJA
weixin_43916250的博客
11-28 1925
核心思想: 对于边界点,通过在一些方向上移动的测试,确定梯度方向的大致位置。 如图: ①想法:对于扰动方向θ在与边界交点画圆,我们希望在标签改变的方向(B方向)的圆轨迹上确定点作为下一个扰动方向θ’,最小扰动肯定比θ好。 ②问题:在只知道改变后标签内容的硬黑盒攻击下,如何确定B方向呢? ③方法:只好多试几次取平均来估计喽~ 算法内容: ①首先,针对初始图像x0,对任意扰动方向θ定义问题g(θ):...
Decision-based-Attacks-PyTorch:基于决策攻击PyTorch实现
03-13
基于决策攻击PyTorch 基于决策攻击PyTorch实现 (面部性别数据集)针对性别分类的非针对性边界攻击 (CelebA HQ数据集)性别分类的无针对性边界攻击
基于决策的黑箱攻击——Boundary Attack
tyh70537的博客
05-20 3224
一、引言 基于决策的黑箱攻击是对抗攻击的一大类,优点是不需要目标模型的任何信息,只需要知道目标模型对于给定输入样本的决策结果。本文主要介绍基于决策的黑箱攻击的开山之作——Boundary Attack,论文为: Brendel W A R J. Decision-based adversarial attacks: reliable attacks against black-box machine learning models. arXiv preprint arXiv:1712.04248, 201
德国图宾根大学发布可扩展「对抗黑盒攻击」,仅通过观察决策即可愚弄深度神经网络
雷克世界
12-20 2808
原文来源:arXiv作者:Wieland Brendel、Jonas Rauber、Matthias Bethge「雷克世界」编译:嗯~阿童木呀、哆啦A亮不知道大家有没有注意到,许多机器学习算法很容易受到几乎不可察觉的输入干扰的影响。到目前为止,我们还不清楚这种对抗干扰将为现实世界中机器学习应用的安全性带来多大的风险,因为用于生成这种干扰的大多数方法要么依赖于详细的模型信息(基于梯度的攻击)或者置
【对抗攻击论文笔记】Decision-Based Adversarial Attack With Frequency Mixup
ji_meng的博客
05-11 1502
今天分享的论文是来自IEEE的 Decision-Based Adversarial Attack With Frequency Mixup,首先来看一下这篇论文的motivation 先来做个简单介绍吧,我们常说的对抗攻击分为黑盒攻击和白盒攻击黑盒攻击可以分为基于迁移的攻击,和基于查询的攻击。基于查询的攻击一般依赖于替代模型,并且需要访问训练数据。基于查询的攻击还可以进一步分为基于分数的攻击和基于决策攻击。在给定输入的情况下,目标模型计算每个可用类别的概率,并将概率最高的类别(即TOP-1概率)作为最
Websphere Process Server培训课程学生手册 (WB111)
06-18
Developing Business Integration Solutions for IBM WebSphere Process Server. To open the document, use password:J9s2HsjA
【论文翻译】高效的基于决策的人脸识别黑盒对抗攻击
Mrong1013967的博客
06-07 1689
摘要 近年来,由于深度卷积神经网络的巨大进步,人脸识别取得了显著的进展。然而,深层中枢神经系统容易受到对抗性例子的影响,这可能在具有安全敏感目的的现实世界人脸识别应用中导致致命的后果。敌对攻击被广泛研究,因为它们可以在部署模型之前识别模型的漏洞。在本文中,我们评估了最先进的人脸识别模型在基于决策黑盒攻击环境中的鲁棒性,在黑盒攻击环境中,攻击者无法访问模型参数和梯度,只能通过向目标模型发送查询来获得硬标签预测。这种攻击设置在现实世界的人脸识别系统中更为实用。为了提高以往方法的效率,我们提出了一种进化攻击
黑盒攻击笔记】网格划分降低参数下L∞约束 + 进化算法&贪婪算法俩篇:Tiling and Evolution Strategils&Parsimonious
weixin_43916250的博客
03-09 985
这次阅读的俩篇文章是基于L∞约束的《Parsimonious Black-Box Adversarial Attacks via Efficient Combinatorial Optimization》和《Yet Another but More Efficient Black-Box Adversarial Attack: Tiling and Evolution Strategies》,放在一...
李沐《动手学深度学习》Pytorch实现记录(2)第五、七、八章
weixin_43916250的博客
10-24 310
动手学深度学习阅读&复现 动手学深度学习在线阅读地址 动手学深度学习pytorch实现地址 第五章 卷积神经网络
黑盒”下的攻击实现,真实世界的“人脸识别”遭遇危险!
喜欢打酱油的老鸟
04-26 5267
https://www.toutiao.com/a6683765601862681092/ 作为最重要的计算机视觉任务之一,人脸识别技术(Facial recognition)基于深度神经网络(CNN)提取人脸特征来实现。 近年来,由于深度神经网络(CNN)的巨大进步,人脸识别技术取得了显著的发展,被广泛使用于身份认证的实际应用中,比如:手机解锁、闸机认证,甚至是金融业务中身份...
论文分享(四)——NIPS 2019 Adversarial Music: Real World Audio Adversary Against Wake-word Detection System
xunbaobao123的博客
11-29 620
摘要 论文的重点是针对唤醒词检测系统提出的攻击方法,通过一些无法察觉的背景音乐干扰使得VAs(语音助手)无效,当存在对抗音频时。论文模拟实现了Amazon Alexa的唤醒检测系统,根据从现实世界收集的数百种语言样本,验证了所提出的对抗音频样本的有效性。实验表明,可以显著地将所模拟的唤醒检测模型的F1分数从93.4%降到11.0%,最后,还测试了在空气中的音频对抗样本,同样有效的将F1分数从92....
PyTorch中文手册学习记录(2)第二、三章
weixin_43916250的博客
10-10 262
P y T o r c h 中 文 手 册 阅 读 & 复 现 2019-10-08 第一章 官方60分钟教程总结
L2:01 - Binary Search
chrissun的专栏
09-16 340
Binary search is a famous question in algorithm. For a given sorted array (ascending order) and a target number, find the first index of this number in O(log n) time complexity. If the target number d
对卡尔曼滤波中增益系数K表达式的理解
热门推荐
weixin_43916250的博客
01-09 1万+
本人研一新生,就读于天津某大学精仪学院,第一次发帖,就把csdn当成自己的学习笔记来记录叭。 这学期开了现代信号处理这门课,大作业是写一篇review,我在学习卡尔曼滤波的过程中,查阅了大部分的博客和论文,发现很多都是介绍了卡尔曼滤波的五个核心公式,执行过程,然后举个栗子附一段代码。可能本人理解能力比较差,最开始只知道怎么用,研究了一段时间才明白“为什么”要这么用。 我觉得上面五个核心公式的实际意...
黑盒边界攻击:SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK-ICLR 2020
xunbaobao123的博客
03-31 3469
黑盒边界攻击:SIGN-OPT: A QUERY-EFFICIENT HARD-LABEL ADVERSARIAL ATTACK-ICLR 2020 @[TOC]目录
对抗样本(论文解读六):Adversarial camera stickers: A physical camera-based attack on deep learning systems
Enjoy_endless
12-22 1438
准备写一个论文学习专栏,先以对抗样本相关为主,后期可能会涉及到目标检测相关领域。 内容不是纯翻译,包括自己的一些注解和总结,论文的结构、组织及相关描述,以及一些英语句子和相关工作的摘抄(可以用于相关领域论文的写作及扩展)。 平时只是阅读论文,有很多知识意识不到,当你真正去着手写的时候,发现写完之后可能只有自己明白做了个啥。包括从组织、结构、描述上等等很多方面都具有很多问题。另一个是对于专业术语、...
server: port: 8080 spring: datasource: username: root password: 123456 driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3306/db?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8 druid: initial-size: 5 min-idle: 5 max-active: 20 max-wait: 60000 time-between-eviction-runs-millis: 60000 min-evictable-idle-time-millis: 100000 max-evictable-idle-time-millis: 300000 validation-query: SELECT 1 FROM DUAL test-while-idle: true test-on-borrow: false test-on-return: false pool-prepared-statements: true aop-patterns: com.example.demo.* stat-view-servlet: enabled: true login-username: root login-password: 123456 web-stat-filter: enabled: true url-pattern: /* exclusions: '*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*' filters: stat,wall filter: stat: slow-sql-millis: 1000 log-slow-sql: true enabled: true wall: enabled: true config: drop-table-allow: false重写yml格式
最新发布
07-13
我可以帮你重新格式化这段YAML格式的文本,如下所示: ```yaml server: port: 8080 spring: datasource: username: root password: 123456 driver-class-name: com.mysql.cj.jdbc.Driver url: jdbc:mysql://localhost:3306/db?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8 druid: initial-size: 5 min-idle: 5 max-active: 20 max-wait: 60000 time-between-eviction-runs-millis: 60000 min-evictable-idle-time-millis: 100000 max-evictable-idle-time-millis: 300000 validation-query: SELECT 1 FROM DUAL test-while-idle: true test-on-borrow: false test-on-return: false pool-prepared-statements: true aop-patterns: com.example.demo.* stat-view-servlet: enabled: true login-username: root login-password: 123456 web-stat-filter: enabled: true url-pattern: /* exclusions: '*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*' filters: stat,wall filter: stat: slow-sql-millis: 1000 log-slow-sql: true enabled: true wall: enabled: true config: drop-table-allow: false ``` 希望这样的格式更易读和明了。如果你还有任何其他问题,请随时提问!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值