A Fast Two-Stage Black-Box Deep Learning Network Attacking Method Based on Cross-Correlation

Deep learning networks are widely used in various systems that require classification.However,deep learning networks are vulnerable to adversarial attacks.The study on adversarial attacks plays an important role in defense.Black-box attacks require less knowledge about target models than white-box attacks do,which means black-box attacks are easier to launch and more valuable.However,the state-of-arts black-box attacks still suffer in low success rates and large visual distances between generative adversarial images and original images.This paper proposes a kind of fast black-box attack based on the cross-correlation(FBACC)method.The attack is carried out in two stages.In the first stage,an adversarial image,which would be missclassified as the target label,is generated by using gradient descending learning.By far the image may look a lot different than the original one.Then,in the second stage,visual quality keeps getting improved on the condition that the label keeps being missclassified.By using the cross-correlation method,the error of the smooth region is ignored,and the number of iterations is reduced.Compared with the proposed black-box adversarial attack methods,FBACC achieves a better fooling rate and fewer iterations.When attacking LeNet5 and AlexNet respectively,the fooling rates are 100%and 89.56%.When attacking them at the same time,the fooling rate is 69.78%.FBACC method also provides a new adversarial attack method for the study of defense against adversarial attacks.

<i>PP</i>and <i>P<span style='text-decoration:overline;'>P</span></i>Multi-Particles Production Investigation Based on CCNN Black-Box Approach

The multiplicity distribution (P(nch)) of charged particles produced in a high energy collision is a key quantity to understand the mechanism of multiparticle production. This paper describes the novel application of an artificial neural network (ANN) black-box modeling approach based on the cascade correlation (CC) algorithm formulated to calculate and predict multiplicity distribution of proton-proton (antiproton) (PP and PP ) inelastic interactions full phase space at a wide range of center-mass of energy . In addition, the formulated cascade correlation neural network (CCNN) model is used to empirically calculate the average multiplicity distribution nch> as a function of . The CCNN model was designed based on available experimental data for = 30.4 GeV, 44.5 GeV, 52.6 GeV, 62.2 GeV, 200 GeV, 300 GeV, 540 GeV, 900 GeV, 1000 GeV, 1800 GeV, and 7 TeV. Our obtained empirical results for P(nch), as well as nch> for (PP and PP) collisions are compared with the corresponding theoretical ones which obtained from other models. This comparison shows a good agreement with the available experimental data (up to 7 TeV) and other theoretical ones. At full large hadron collider (LHC) energy ( = 14 TeV) we have predicted P(nch) and nch> which also, show a good agreement with different theoretical models.

Reliable Space Pursuing for Reliability-based Design Optimization with Black-box Performance Functions

Reliability-based design optimization(RBDO) is intrinsically a double-loop procedure since it involves an overall optimization and an iterative reliability assessment at each search point.Due to the double-loop procedure, the computational expense of RBDO is normally very high.Current RBDO research focuses on problems with explicitly expressed performance functions and readily available gradients.This paper addresses a more challenging type of RBDO problem in which the performance functions are computation intensive.These computation intensive functions are often considered as a"black-box"and their gradients are not available or not reliable.On the basis of the reliable design space(RDS) concept proposed earlier by the authors, this paper proposes a Reliable Space Pursuing(RSP) approach, in which RDS is first identified and then gradually refined while optimization is performed.It fundamentally avoids the nested optimization and probabilistic assessment loop.Three well known RBDO problems from the literature are used for testing and demonstrating the effectiveness of the proposed RSP method.

AN ALGORITHM FOR AUTOMATICALLY GENERATING BLACK-BOX TEST CASES

Selection of test cases plays a key role in improving testing efficiency. Black-box testing is an important way of testing, and its validity lies on the selection of test cases in some sense. A reasonable and effective method about the selection and generation of test cases is urgently needed. This letter first introduces some usualmethods on black-box test case generation,then proposes a new algorithm based on interface parameters and discusses its properties, finally shows the effectiveness of the algorithm.

Probabilistic movement primitive based motion learning for a lower limb exoskeleton with black-box optimization

As a wearable robot,an exoskeleton provides a direct transfer of mechanical power to assist or augment the wearer’s movement with an anthropomorphic configuration.When an exoskeleton is used to facilitate the wearer’s movement,a motion generation process often plays an important role in high-level control.One of the main challenges in this area is to generate in real time a reference trajectory that is parallel with human intention and can adapt to different situations.In this paper,we first describe a novel motion modeling method based on probabilistic movement primitive(ProMP)for a lower limb exoskeleton,which is a new and powerful representative tool for generating motion trajectories.To adapt the trajectory to different situations when the exoskeleton is used by different wearers,we propose a novel motion learning scheme based on black-box optimization(BBO)PIBB combined with ProMP.The motion model is first learned by ProMP offline,which can generate reference trajectories for use by exoskeleton controllers online.PIBB is adopted to learn and update the model for online trajectory generation,which provides the capability of adaptation of the system and eliminates the effects of uncertainties.Simulations and experiments involving six subjects using the lower limb exoskeleton HEXO demonstrate the effectiveness of the proposed methods.

Optimization of operating conditions in the steam turbine blade cascade using the black-box method

Water droplets cause corrosion and erosion,condensation loss,and thermal efficiency reduction in low-pressure steam turbines.In this study,multi-objective optimization was carried out using the black-box method through the automatic linking of a genetic algorithm(GA)and a computational fluid dynamics(CFD)code to find the optimal values of two design variables(inlet stagnation temperature and cascade pressure ratio)to reduce wetness in the last stages of turbines.The wet steam flow numerical model was used to calculate the optimization parameters,including wetness fraction rate,mean droplet radius,erosion rate,condensation loss rate,kinetic energy rate,and mass flow rate.Examining the validation results showed a good agreement between the experimental data and the numerical outcomes.According to the optimization results,the inlet stagnation temperature and the cascade pressure ratio were proposed to be 388.67(K)and 0.55(-),respectively.In particular,the suggested optimaltemperature and pressure ratio improved the liquid mass fraction and mean droplet radius by about 32%and 29%,respectively.Also,in the identified optimal operating state,the ratios of erosion,condensation loss,and kinetic energy fell by 76%,32.7%,and 15.85%,respectively,while the mass flow rate ratio rose by 0.68%.

基于损失平滑的对抗样本攻击方法

深度神经网络(DNNs)容易受到对抗样本的攻击,现有基于动量的对抗样本生成方法虽然可以达到接近100%的白盒攻击成功率,但是在攻击其他模型时效果仍不理想,黑盒攻击成功率较低。针对此,提出一种基于损失平滑的对抗样本攻击方法来提高对抗样本的可迁移性。在每一步计算梯度的迭代过程中,不直接使用当前梯度,而是使用局部平均梯度来累积动量,以此来抑制损失函数曲面存在的局部振荡现象,从而稳定更新方向,逃离局部极值点。在ImageNet数据集上的大量实验结果表明:所提方法与现有基于动量的方法相比,在单个模型攻击实验中的平均黑盒攻击成功率分别提升了38.07%和27.77%,在集成模型攻击实验中的平均黑盒攻击成功率分别提升了32.50%和28.63%。

黑盒与逆向工程概念在数字电路基础实验教学中的应用

随着电子信息技术的飞速发展,传统数字电路实验内容虽较为经典,其授课模式难以真实反映学生实验完成情况,难以有效促进学生对理论课程知识的深入理解。对此摒弃传统FPGA黑盒实验系统中的正向验证方式,采取逆向分析方法,通过对电路外特性测试,进行电路功能判断,强化学生数字电路理论知识,提高学生逆向工程、自主设计和工程应用能力。实验设计符合工程教育认证标准,提高数字电路实验教学质量。

数字金融的算法风险及其法律规制

算法与金融的深度融合是金融产业数字化转型的关键驱动力,但同时也引发了算法歧视、算法权力、算法共谋、算法趋同等一系列新型风险。这些风险具有隐蔽性、系统性和根源多样性的特征,导致传统金融法制在法律主体、调整对象、算法权利、算法责任等方面表现出局限性。究其根源,在于算法黑箱削弱了金融消费者和监管者的风险识别和防范能力,并导致算法责任追究困难。因此,对数字金融算法风险的法律规制应以算法黑箱为切入点,以促进算法发展和防范算法风险统筹为目标,以算法透明性为基本原则,确保透明是合理的、有意义的且具有层次差异。在法律主体方面,应加强监管部门的专业性和协调机制,引入多方主体协同共治;在调整对象方面,应对算法本体和参与主体进行双维规制;在算法权利方面,应加强金融消费者数据保护与算法规制的衔接;在算法责任方面,应构建以算法设计与应用监管并重的双层监管结构,以确保数字金融算法安全可信的实现。

带隐藏约束昂贵黑箱问题的自适应代理优化方法

针对带隐藏约束的昂贵黑箱全局优化问题,提出采用自适应转换搜索策略的代理优化方法。在转换搜索子步中采用与已估值点个数相关的标准差在当前最优点附近通过随机扰动生成候选点,以更好地平衡局部搜索和全局搜索。为更好地近似真实黑箱目标函数,采用了自适应组合目标代理模型。在50个测试问题上进行了数值实验,计算结果说明了所提算法的有效性。

算法解释制度的体系化构建

算法解释在算法治理中举足轻重。算法解释承载着权益保障、社会交往和风险治理三重意义,其在技术层面上的障碍正在逐渐被突破,可以通过多种技术机制实现。在算法治理活动中,应根据常规场景、关键场景和争议场景分别限定选择解释的路径选择和技术方案,通过冻结机制、抽样机制和镜像机制固定算法解释,并使之接受外部的验证与审查,确保算法解释真实、有效。算法解释的系列机制应被进一步构建为体系化的算法解释制度,在这一制度框架内,对解释路径与精度、解释时限、解释瑕疵责任等要素的合理配置,可以实现社会效益与规制负担的精细平衡。

智媒时代互联网广告的算法“黑箱”与治理路径探析

随着互联网技术的更新迭代,人工智能、算法等技术逐渐嵌入日常随处可见的广告中,也因其“黑箱”问题给广告治理带来权力滥用、技术异化、隐私窥视等难题。算法“黑箱”的封闭性、歧视性和风险性等特征使算法在应用中直接影响互联网广告的制度。破解这些难题的路径在于:规制算法权力、改革算法生态、设立数据收集壁垒、推进“黑箱”透明。

一种基于后门技术的深度强化学习水印框架

深度强化学习(DRL)已经证明了它在各种复杂任务中的有效性,因其出色的性能使其商业化正在急剧加速。生成一个DRL模型需要大量的计算资源和专业知识,使得一个训练有素的DRL模型已经成为人工智能应用程序和产品的核心知识产权。基于对DRL模型的产权保护,防止非法抄袭、未经授权的分发和复制,提出一种后门技术的DRL水印框架DrlWF,并使用一个全新的评价指标水印动作实现比例来衡量水印性能。通过向训练状态中添加水印,并使用带有水印的水印状态训练模型从而实现将水印嵌入至模型中。框架中的水印嵌入操作可以通过将水印嵌入到少量的训练数据中(仅需0.025%的训练数据)和不影响性能的奖励修改来实现。实验结果证明,在标准状态下,DRL模型仍具有良好的性能;在水印状态下,DRL模型性能将急剧下降,不足原有性能的1%,且水印动作执行比例达到了99%。通过急剧下降的性能以及模型对水印状态的动作表现,即可验证模型的所有权。此外,该水印具有良好的鲁棒性,在模型微调和模型压缩下,模型依然能够识别出水印,性能急剧下降且水印动作执行比例依旧达到了99%以上,证明了该DRL水印具有良好的鲁棒性。

基于随机平滑的通用黑盒认证防御

近年来,基于深度神经网络(DNNs)的图像分类模型在人脸识别、自动驾驶等关键领域得到了广泛应用,并展现出卓越的性能.然而,深度神经网络容易受到对抗样本攻击,从而导致模型错误分类.为此,提升模型自身的鲁棒性已成为一个主要的研究方向.目前大部分的防御方法,特别是经验防御方法,都基于白盒假设,即防御者拥有模型的详细信息,如模型架构和参数等.然而,模型所有者基于隐私保护的考虑不愿意共享模型信息.即使现有的黑盒假设的防御方法,也无法防御所有范数扰动的攻击,缺乏通用性.因此,本文提出了一种适用于黑盒模型的通用认证防御方法.具体而言,本文首先设计了一个基于查询的无数据替代模型生成方案,在无需模型的训练数据与结构等先验知识的情况下,利用查询和零阶优化生成高质量的替代模型,将认证防御场景转化为白盒,确保模型的隐私安全.其次,本文提出了基于白盒替代模型的随机平滑和噪声选择方法,构建了一个能够抵御任意范数扰动攻击的通用认证防御方案.本文通过分析比较原模型和替代模型在白盒认证防御上的性能,确保了替代模型的有效性.相较于现有方法,本文提出的通用黑盒认证防御方案在CIFAR10数据集上的效果取得了显著的提升.实验结果表明,本文方案可以保持与白盒认证防御方法相似的效果.与之前基于黑盒的认证防御方法相比,本文方案在实现了所有L p的认证防御的同时,认证准确率提升了20%以上.此外,本文方案还能有效保护原始模型的隐私,与原始模型相比,本文方案使成员推理攻击的成功率下降了5.48%.

针对身份证文本识别的黑盒攻击算法研究

身份证认证场景多采用文本识别模型对身份证图片的字段进行提取、识别和身份认证,存在很大的隐私泄露隐患.并且,当前基于文本识别模型的对抗攻击算法大多只考虑简单背景的数据(如印刷体)和白盒条件,很难在物理世界达到理想的攻击效果,不适用于复杂背景、数据及黑盒条件.为缓解上述问题,本文提出针对身份证文本识别模型的黑盒攻击算法,考虑较为复杂的图像背景、更严苛的黑盒条件以及物理世界的攻击效果.本算法在基于迁移的黑盒攻击算法的基础上引入二值化掩码和空间变换,在保证攻击成功率的前提下提升了对抗样本的视觉效果和物理世界中的鲁棒性.通过探索不同范数限制下基于迁移的黑盒攻击算法的性能上限和关键超参数的影响,本算法在百度身份证识别模型上实现了100%的攻击成功率.身份证数据集后续将开源.

基于特征拓扑融合的黑盒图对抗攻击

在大数据时代,数据之间的紧密关联性是普遍存在的,图数据分析挖掘已经成为大数据技术的重要发展趋势。近几年,图神经网络作为一种新型的图表示学习工具引起了学术界和工业界的广泛关注。目前图神经网络已经在很多实际应用中取得了巨大的成功。最近人工智能的安全性和可信性成为了人们关注的重点,很多工作主要针对图像等规则数据的深度学习对抗攻击。文中主要聚焦于图数据这种典型非欧氏结构的黑盒对抗攻击问题,在图神经网络模型信息(结构、参数)未知的情况下,对图数据进行非随机微小扰动,从而实现对模型的对抗攻击,模型性能随之下降。基于节点选择的对抗攻击策略是一类重要的黑盒图对抗攻击方法,但现有方法在选择对抗攻击节点时主要依靠节点的拓扑结构信息(如度信息)而未充分考虑节点的特征信息,文中面向引文网络提出了一种基于特征拓扑融合的黑盒图对抗攻击方法。所提方法在选择重要性节点的过程中将图节点特征信息和拓扑结构信息进行融合,使得选出的节点在特征和拓扑两方面对于图数据都是重要的,攻击者对挑选出的重要节点施加不易察觉的扰动后对图数据产生了较大影响,进而实现对图神经网络模型的攻击。在3个基准数据集上进行实验,结果表明,所提出的攻击策略在模型参数未知的情况下能显著降低模型性能,且攻击效果优于现有的方法。

结合高斯滤波与MASK的G-MASK人脸对抗攻击

深度神经网络的快速发展使其在计算机视觉和自然语言处理等领域取得较大成功,但是对抗攻击会导致神经网络的表现性能降低,对各类系统的安全保密性造成严重威胁。现有黑盒攻击方法在人脸识别中性能表现较差,攻击成功率较低且生成对抗样本迁移性不高。为此,提出一种结合高斯滤波与掩码的对抗攻击方法G-MASK。利用Grad-CAM输出的热力图确定对抗样本的掩码区域,使其只在掩码区域施加扰动,提高黑盒攻击成功率,采用扰动集成方法提高黑盒迁移能力,增强黑盒攻击鲁棒性,对生成的扰动进行高斯平滑处理,降低集成模型之间干扰噪声的差异,提高图像质量且增强扰动掩蔽性。实验结果表明,针对不同的人脸识别模型,G-MASK方法在保证白盒攻击成功率较高的条件下能够显著提升黑盒攻击效果,并具有更优的掩蔽性,经过模型扰动集成的对抗样本白盒攻击成功率均提高至98.5%以上,黑盒攻击成功率最高达到75.9%,与快速梯度符号法(FGSM)、迭代快速梯度符号法(I-FGSM)和动量迭代梯度符号法(MI-FGSM)相比分别平均提升12.1、10.6和8.2个百分点,充分验证了该方法的有效性。

基于龙格库塔法的对抗攻击方法

深度神经网络在许多领域中取得了显著的成果,但相关研究结果表明,深度神经网络很容易受到对抗样本的影响.基于梯度的攻击是一种流行的对抗攻击,引起了人们的广泛关注.研究基于梯度的对抗攻击与常微分方程数值解法之间的关系,并提出一种新的基于常微分方程数值解法-龙格库塔法的对抗攻击方法.根据龙格库塔法中的预测思想,首先在原始样本中添加扰动构建预测样本,然后将损失函数对于原始输入样本和预测样本的梯度信息进行线性组合,以确定生成对抗样本中需要添加的扰动.不同于已有的方法,所提出的方法借助于龙格库塔法中的预测思想来获取未来的梯度信息(即损失函数对于预测样本的梯度),并将其用于确定所要添加的对抗扰动.该对抗攻击具有良好的可扩展性,可以非常容易地集成到现有的所有基于梯度的攻击方法.大量的实验结果表明,相比于现有的先进方法,所提出的方法可以达到更高的攻击成功率和更好的迁移性.

基于稳定Adam和空间域变换的对抗样本生成算法

深度神经网络广泛应用于图像分类、目标检测、自然语言处理等领域,但其容易受到对抗样本攻击。现有的多数攻击都是基于快速梯度符号法,通过在输入中添加相同幅度的扰动达到攻击效果,这些方法虽然有效但并不利于快速找到具有泛化能力的对抗样本。针对对抗样本的泛化性,提出一种结合稳定自适应矩估计和空间域变换的梯度优化算法来改进现有的对抗样本生成算法。将Nesterov算法引入一阶矩估计的更新中,基于AdaBelief算法,将Belief参数应用于二阶矩估计,同时根据指数衰减率计算衰减步长以获取更稳定的梯度。从数据增强的角度考虑,在对抗样本生成的过程中将输入样本在空间域进行变换,通过加权不同变换的梯度来更新原有梯度,从而提高对抗样本的可迁移性。实验结果表明,改进算法对抗样本性能显著提升,其白盒攻击成功率能够保持在99.6%以上,同时黑盒攻击成功率可提高到74.5%。

一种多模型的调度优化对抗攻击算法

对抗样本可通过单模型和集成模型这2种方式生成,其中集成模型生成的对抗样本往往具有更强的攻击成功率.目前集成模型的相关研究较少,现有的集成模型方式大多是在迭代中同时使用所有模型,没有合理考虑不同模型的差异问题,导致集成模型生成的对抗样本攻击成功率较低.为了进一步提高集成模型的攻击成功率,提出一种多模型的调度优化对抗攻击算法.首先通过计算各个模型的损失梯度差异进行模型的调度选择,在每轮迭代选择最优模型组合进行集成攻击得到最优梯度.其次使用前一阶段的动量项更新当前数据点,在更新后的数据点上使用当前阶段模型组合计算得到优化梯度.利用优化梯度结合变换梯度来调整得到最终梯度方向.在ImageNet数据集进行大量实验,结果表明:所提的集成算法以更少扰动得到更高的黑盒攻击成功率.与主流的全模型集成方法对比,黑盒攻击正常训练模型和经过对抗训练模型的平均成功率分别提高了3.4%和12%,且生成的对抗样本有更好的视觉效果.