基于掩模提取的SAR图像对抗样本生成方法

合成孔径雷达(synthetic aperture radar,SAR)图像的对抗样本生成在当前已经有很多方法,但仍存在对抗样本扰动量较大、训练不稳定以及对抗样本的质量无法保证等问题。针对上述问题,提出了一种SAR图像对抗样本生成模型,该模型基于AdvGAN模型架构,首先根据SAR图像的特点设计了一种由增强Lee滤波器和最大类间方差法(OTSU)自适应阈值分割等模块组成的掩模提取模块,这种方法产生的扰动量更小,与原始样本的结构相似性(structural similarity,SSIM)值达到0.997以上。其次将改进的相对均值生成对抗网络(relativistic average generative adversarial network,RaGAN)损失引入AdvGAN中,使用相对均值判别器,让判别器在训练中同时依赖于真实数据和生成的数据,提高了训练的稳定性与攻击效果。在MSTAR数据集上与相关方法进行了实验对比,实验表明,此方法生成的SAR图像对抗样本在攻击防御模型时的攻击成功率较传统方法提高了10%~15%。

基于损失平滑的对抗样本攻击方法

深度神经网络(DNNs)容易受到对抗样本的攻击,现有基于动量的对抗样本生成方法虽然可以达到接近100%的白盒攻击成功率,但是在攻击其他模型时效果仍不理想,黑盒攻击成功率较低。针对此,提出一种基于损失平滑的对抗样本攻击方法来提高对抗样本的可迁移性。在每一步计算梯度的迭代过程中,不直接使用当前梯度,而是使用局部平均梯度来累积动量,以此来抑制损失函数曲面存在的局部振荡现象,从而稳定更新方向,逃离局部极值点。在ImageNet数据集上的大量实验结果表明:所提方法与现有基于动量的方法相比,在单个模型攻击实验中的平均黑盒攻击成功率分别提升了38.07%和27.77%,在集成模型攻击实验中的平均黑盒攻击成功率分别提升了32.50%和28.63%。

针对身份证文本识别的黑盒攻击算法研究

身份证认证场景多采用文本识别模型对身份证图片的字段进行提取、识别和身份认证,存在很大的隐私泄露隐患.并且,当前基于文本识别模型的对抗攻击算法大多只考虑简单背景的数据(如印刷体)和白盒条件,很难在物理世界达到理想的攻击效果,不适用于复杂背景、数据及黑盒条件.为缓解上述问题,本文提出针对身份证文本识别模型的黑盒攻击算法,考虑较为复杂的图像背景、更严苛的黑盒条件以及物理世界的攻击效果.本算法在基于迁移的黑盒攻击算法的基础上引入二值化掩码和空间变换,在保证攻击成功率的前提下提升了对抗样本的视觉效果和物理世界中的鲁棒性.通过探索不同范数限制下基于迁移的黑盒攻击算法的性能上限和关键超参数的影响,本算法在百度身份证识别模型上实现了100%的攻击成功率.身份证数据集后续将开源.

基于特征拓扑融合的黑盒图对抗攻击

在大数据时代,数据之间的紧密关联性是普遍存在的,图数据分析挖掘已经成为大数据技术的重要发展趋势。近几年,图神经网络作为一种新型的图表示学习工具引起了学术界和工业界的广泛关注。目前图神经网络已经在很多实际应用中取得了巨大的成功。最近人工智能的安全性和可信性成为了人们关注的重点,很多工作主要针对图像等规则数据的深度学习对抗攻击。文中主要聚焦于图数据这种典型非欧氏结构的黑盒对抗攻击问题,在图神经网络模型信息(结构、参数)未知的情况下,对图数据进行非随机微小扰动,从而实现对模型的对抗攻击,模型性能随之下降。基于节点选择的对抗攻击策略是一类重要的黑盒图对抗攻击方法,但现有方法在选择对抗攻击节点时主要依靠节点的拓扑结构信息(如度信息)而未充分考虑节点的特征信息,文中面向引文网络提出了一种基于特征拓扑融合的黑盒图对抗攻击方法。所提方法在选择重要性节点的过程中将图节点特征信息和拓扑结构信息进行融合,使得选出的节点在特征和拓扑两方面对于图数据都是重要的,攻击者对挑选出的重要节点施加不易察觉的扰动后对图数据产生了较大影响,进而实现对图神经网络模型的攻击。在3个基准数据集上进行实验,结果表明,所提出的攻击策略在模型参数未知的情况下能显著降低模型性能,且攻击效果优于现有的方法。

基于龙格库塔法的对抗攻击方法

深度神经网络在许多领域中取得了显著的成果,但相关研究结果表明,深度神经网络很容易受到对抗样本的影响.基于梯度的攻击是一种流行的对抗攻击,引起了人们的广泛关注.研究基于梯度的对抗攻击与常微分方程数值解法之间的关系,并提出一种新的基于常微分方程数值解法-龙格库塔法的对抗攻击方法.根据龙格库塔法中的预测思想,首先在原始样本中添加扰动构建预测样本,然后将损失函数对于原始输入样本和预测样本的梯度信息进行线性组合,以确定生成对抗样本中需要添加的扰动.不同于已有的方法,所提出的方法借助于龙格库塔法中的预测思想来获取未来的梯度信息(即损失函数对于预测样本的梯度),并将其用于确定所要添加的对抗扰动.该对抗攻击具有良好的可扩展性,可以非常容易地集成到现有的所有基于梯度的攻击方法.大量的实验结果表明,相比于现有的先进方法,所提出的方法可以达到更高的攻击成功率和更好的迁移性.

结合高斯滤波与MASK的G-MASK人脸对抗攻击

深度神经网络的快速发展使其在计算机视觉和自然语言处理等领域取得较大成功,但是对抗攻击会导致神经网络的表现性能降低,对各类系统的安全保密性造成严重威胁。现有黑盒攻击方法在人脸识别中性能表现较差,攻击成功率较低且生成对抗样本迁移性不高。为此,提出一种结合高斯滤波与掩码的对抗攻击方法G-MASK。利用Grad-CAM输出的热力图确定对抗样本的掩码区域,使其只在掩码区域施加扰动,提高黑盒攻击成功率,采用扰动集成方法提高黑盒迁移能力,增强黑盒攻击鲁棒性,对生成的扰动进行高斯平滑处理,降低集成模型之间干扰噪声的差异,提高图像质量且增强扰动掩蔽性。实验结果表明,针对不同的人脸识别模型,G-MASK方法在保证白盒攻击成功率较高的条件下能够显著提升黑盒攻击效果,并具有更优的掩蔽性,经过模型扰动集成的对抗样本白盒攻击成功率均提高至98.5%以上,黑盒攻击成功率最高达到75.9%,与快速梯度符号法(FGSM)、迭代快速梯度符号法(I-FGSM)和动量迭代梯度符号法(MI-FGSM)相比分别平均提升12.1、10.6和8.2个百分点,充分验证了该方法的有效性。

基于稳定Adam和空间域变换的对抗样本生成算法

深度神经网络广泛应用于图像分类、目标检测、自然语言处理等领域,但其容易受到对抗样本攻击。现有的多数攻击都是基于快速梯度符号法,通过在输入中添加相同幅度的扰动达到攻击效果,这些方法虽然有效但并不利于快速找到具有泛化能力的对抗样本。针对对抗样本的泛化性,提出一种结合稳定自适应矩估计和空间域变换的梯度优化算法来改进现有的对抗样本生成算法。将Nesterov算法引入一阶矩估计的更新中,基于AdaBelief算法,将Belief参数应用于二阶矩估计,同时根据指数衰减率计算衰减步长以获取更稳定的梯度。从数据增强的角度考虑,在对抗样本生成的过程中将输入样本在空间域进行变换,通过加权不同变换的梯度来更新原有梯度,从而提高对抗样本的可迁移性。实验结果表明,改进算法对抗样本性能显著提升,其白盒攻击成功率能够保持在99.6%以上,同时黑盒攻击成功率可提高到74.5%。

一种多模型的调度优化对抗攻击算法

对抗样本可通过单模型和集成模型这2种方式生成,其中集成模型生成的对抗样本往往具有更强的攻击成功率.目前集成模型的相关研究较少,现有的集成模型方式大多是在迭代中同时使用所有模型,没有合理考虑不同模型的差异问题,导致集成模型生成的对抗样本攻击成功率较低.为了进一步提高集成模型的攻击成功率,提出一种多模型的调度优化对抗攻击算法.首先通过计算各个模型的损失梯度差异进行模型的调度选择,在每轮迭代选择最优模型组合进行集成攻击得到最优梯度.其次使用前一阶段的动量项更新当前数据点,在更新后的数据点上使用当前阶段模型组合计算得到优化梯度.利用优化梯度结合变换梯度来调整得到最终梯度方向.在ImageNet数据集进行大量实验,结果表明:所提的集成算法以更少扰动得到更高的黑盒攻击成功率.与主流的全模型集成方法对比,黑盒攻击正常训练模型和经过对抗训练模型的平均成功率分别提高了3.4%和12%,且生成的对抗样本有更好的视觉效果.

白盒SM4优化算法在水印技术中的应用

针对目前应用软件缺乏防止动态调试方法的问题,提出了一种白盒SM4算法与水印技术相结合的方法。对白盒SM4算法的仿射变换及迭代进行合理的优化,结合水印算法的关键技术,检测代码是否被篡改。如果被篡改就立即启动响应代码,通过改变其入口函数等方式,使程序失效。在满足手机应用白盒环境的前提下,其空间复杂度可降低为原来的1/2,时间效率可以提升四倍左右。通过数据计算可知,所提的白盒算法满足多样性要求,并可以抵御BGE(Billet,Gilbert,Ech-Chatbi)攻击。

基于硫酸盐腐蚀箱梁挠度分析的混凝土施工水灰比研究

硫酸盐侵蚀会严重影响混凝土梁体的使用性能,水灰比会影响混凝土在盐环境中的扩散系数,从而影响到硫酸盐环境下混凝土箱梁的挠度,施工过程中的水灰比控制是混凝土结构和构件的使用性能和使用寿命的基础。采用长期浸泡法对缩尺混凝土箱梁进行硫酸盐腐蚀试验,研究混凝土箱梁内部的硫酸盐扩散情况。采用三分点加载试验对浸泡试验梁施加荷载,研究荷载与硫酸盐腐蚀联合作用下的挠度变化情况。基于Lee H等侵蚀深度预测理论模型,得到了SO 42-扩散深度与水灰比的关系,结合力学分析得到硫酸盐环境下混凝土箱梁挠度与水灰比的关系,并与试验结果进行对比,最终得到符合混凝土承载力与耐久性要求的施工水灰比。研究结果表明:试验与理论计算值具有较高的吻合度,且当水灰比为0.48时,可以保证硫酸盐腐蚀环境中混凝土箱梁的耐久性。

基于动态替代结构增强黑盒对抗攻击

现有黑盒对抗攻击方法可以通过替代模型模拟目标黑盒模型的决策边界,并据此生成对抗样本,但替代模型通常具有固定的结构,这在某种程度上可能会限制其攻击效果。为了解决这一问题,提出了一种基于动态替代结构增强黑盒对抗攻击的方法。方法包含一个新颖的动态网络结构,能够自适应地寻找与目标模型最匹配的替代模型结构,全过程不依赖任何先验知识。实验证明了该方法的攻击成功率较现有方法有所提升,且替代模型的决策边界与目标模型的决策边界吻合度高,使得原本设计用于白盒攻击的策略也能有效地应用于黑盒攻击。

An experimental study on the effects of friction modifiers on wheel-rail dynamic interactions with various angles of attack

By modifying friction to the desired level,the application of friction modifiers(FMs)has been considered as a promising emerging tool in the railway engineering for increasing braking/traction force in poor adhesion conditions and mitigating wheel/rail interface deterioration,energy consumption,vibration and noise.Understanding the effectiveness of FMs in wheel–rail dynamic interactions is crucial to their proper applications in practice,which has,however,not been well explained.This study experimentally investigates the effects of two types of top-of-rail FM,i.e.FM-A and FM-B,and their application dosages on wheel–rail dynamic interactions with a range of angles of attack(AoAs)using an innovative well-controlled V-track test rig.The tested FMs have been used to provide intermediate friction for wear and noise reduction.The effectiveness of the FMs is assessed in terms of the wheel–rail adhesion characteristics and friction rolling induced axle box acceleration(ABA).This study provides the following new insights into the study of FM:the applications of the tested FMs can both reduce the wheel–rail adhesion level and change the negative friction characteristic to positive;stick–slip can be generated in the V-Track and eliminated by FM-A but intensified by FM-B,depending on the dosage of the FMs applied;the negative friction characteristic is not a must for stick–slip;the increase in ABA with AoA is insignificant until stick–slip occurs and the ABA can thus be influenced by the applications of FM.

基于重要特征的视觉目标跟踪可迁移黑盒攻击方法

视频目标跟踪的黑盒攻击方法受到越来越多的关注,目的是评估目标跟踪器的稳健性,进而提升跟踪器的安全性.目前大部分的研究都是基于查询的黑盒攻击,尽管取得较好的攻击效果,但在实际应用中往往不能获取大量的查询以进行攻击.本文提出一种基于迁移的黑盒攻击方法,通过对特征中与跟踪目标高度相关而不受源模型影响的重要特征进行攻击,将其重要程度降低,同时增强不重要的特征以实现具有可迁移性的攻击,即通过反向传播获得的所对应的梯度来体现其特征的重要程度,随后通过梯度得到的加权特征进行攻击.此外,本文使用视频相邻两帧之间相似这一时序信息,提出基于时序感知的特征相似性攻击方法,通过减小相邻帧之间的特征相似度以进行攻击.本文在目前主流的深度学习目标跟踪器上评估了提出的攻击方法,在多个数据集上的实验结果证明了本文方法的有效性及强可迁移性,在OTB数据集中,SiamRPN跟踪模型被攻击后跟踪成功率以及精确度分别下降了71.5%和79.9%.

大跨桥梁分离式三箱梁附加攻角效应研究

为研究附加攻角效应对分离式三箱梁颤振性能的影响,结合节段模型风洞试验和理论计算方法获得初始风攻角下的附加攻角,并通过计算流体动力学(Computational Fluid Dynamics,CFD)数值模拟方法求解初始风攻角下的颤振临界风速.结果表明,分离式三箱梁的初始风攻角及箱梁之间的横梁对附加攻角有较大影响,节段模型在0°~+7°风攻角下存在十分显著的附加攻角效应,且表现为扭转振幅快速增大的硬颤振.节段模型自由振动风洞试验难以直接获得分离式三箱梁在小风攻角下的准确颤振临界风速.对于主跨3300 m的悬索桥,0°初始风攻角下在颤振失稳前的静风附加攻角达到+7°以上,颤振临界风速大大降低,气弹稳定性得不到充分发挥.因此,对于采用分离式三箱梁断面的超大跨径桥梁,在抗风设计中应对其附加攻角效应予以重视.

高陡山区大跨度钢箱梁悬索桥风致振动试验和气动外形优化

为了掌握高陡山区大跨度钢箱梁悬索桥的抗风性能,以实际工程为背景,建立了桥梁的三维有限元模型并识别其模态特性;据此设计了节段模型并开展风洞试验,测试了桥梁在不同风攻角下的颤振性能;基于不同目标对钢箱梁的气动外形进行了优化设计,结合颤振临界风速和涡振性能对优化措施进行了评价。研究结果表明:较高的防撞护栏使该桥在正攻角来流下的颤振稳定性较差;在桥面中央设置竖向稳定板或在风嘴上设置导流板均能提高桥梁的颤振临界风速,但两种措施对桥梁的涡振有不同影响;设置稳定板后桥梁在正、负攻角下均存在发生涡振的可能,而设置导流板后桥梁仅在正攻角下存在发生涡振的可能,考虑到桥址区以负攻角来流为主,因此后者更具优势。

不同高宽比并列双幅箱梁气动升力的干扰效应

为了给实际工程中并列双幅变截面箱梁的气动升力取值提供参考,针对不同高宽比的双幅箱梁,通过刚性模型测压风洞试验,测试了多个不同风攻角和间距时双幅箱梁的升力系数,并与单幅箱梁的升力系数进行了对比分析。引入干扰因子对下游箱梁的干扰效应进行定量表示。研究结果表明:与单幅箱梁相比,上游箱梁的气动升力变化不大,下游箱梁的气动升力变化显著;在大多数正向风攻角下,下游箱梁气动升力的干扰效应表现为明显的减小效应;在负向风攻角下,气动干扰使下游箱梁承受向下的升力,升力值随着风攻角的增大而增大,随着间距和箱梁高宽比的减小而增大。

基于文本关键词的对抗样本生成技术研究

深度学习模型已被广泛应用于处理自然语言任务,但最新研究表明对抗攻击会严重降低分类模型的准确率,使模型分类功能失效.针对深度学习模型处理自然语言任务时出现的脆弱性问题,提出一种新的对抗样本生成方法KeywordsAttack.该方法利用统计算法选择部分字词组成文本关键词集合,再根据关键词对模型分类结果贡献度大小进行迭代替换,直到成功误导分类模型或替换次数达到设定阈值.该方法针对中文的特点采用汉字拆分、拼音替换的方式生成对抗样本.最后,采用公开酒店购物评论数据集进行实验.实验结果表明,利用KeywordsAttack方法生成的对抗样本平均修改幅度占原始文本的18.2%,攻击BERT模型分类准确率约降低43%,攻击LSTM模型分类准确率约降低30%.该数据表明KeywordsAttack方法可以通过对文本进行较小的扰动成功误导分类模型,同时生成对抗样本过程中访问模型次数较少.

基于显著区域优化的对抗样本攻击方法

在计算机视觉任务中,以卷积神经网络为基础的图像分类模型得到广泛应用,但因其自身的脆弱性容易受到对抗样本的攻击。目前的攻击方法大多会对整张图像进行攻击,产生的全局扰动影响了对抗样本的视觉质量。针对这一问题,提出一种基于显著区域优化的对抗样本攻击方法,利用显著目标检测技术为每张原始图像生成显著图,并将其二值化为显著掩模,将该掩模与对抗扰动相结合,使显著区域内的对抗扰动保留下来,实现对抗扰动的局部添加。通过引入Nadam优化算法,稳定损失函数更新方向并动态调整学习率,提高损失函数收敛速度,从而在保持较高黑盒攻击成功率的同时,有效降低对抗扰动的可察觉性。在ImageNet数据集上分别进行单模型和集成模型环境下的对抗攻击实验,并对各方法生成的对抗样本图像质量进行对比分析,结果表明,与基准方法相比,该方法在集成模型攻击中的隐蔽性指标实现了27.2%的性能提升,黑盒攻击成功率最高达到了92.7%的水平。

一种基于几何探测的快速黑盒边界攻击算法

随着深度学习应用的愈发广泛,针对深度学习模型的安全性研究也变得至关重要.在商业应用中,深度学习的模型往往处于应用的底层,一旦对底层模型攻击成功,可能会给商业应用带来巨大的损失.好的攻击算法可以很好的对深度学习模型进行风险评估,从而避免损失.针对实际场景中存在的Hard-label问题,现存算法解决此问题都需要上万次查询,具有很高的攻击成本,提出了FastGBA(fast geometric boundary attack)攻击算法:一种在样本空间内针对决策边界进行几何探测的攻击算法,初始从具有较大扰动的对抗样本出发,进行二分逼近至决策边界附近,最终在决策边界附近进行邻域几何探测来缩短样本距离.FastGBA攻击算法在4个深度学习模型上同SurFree攻击算法以及HSJA(hop skip jump attack)攻击算法进行了对比实验,在查询次数不超过500次,中等扰动(L2距离≤10)的限制条件下,攻击成功率在4个深度学习模型上相较于SurFree攻击算法提升了14.5%~24.4%,相较于HSJA攻击算法提升了28.9%~36.8%.

采用GAN的肺部疾病诊断模型黑盒可迁移性对抗攻击方法

针对现有对抗攻击方法在黑盒场景下攻击成功率不高以及生成质量低等问题,提出了一种基于生成对抗网络(GAN)的肺部疾病诊断模型黑盒可迁移性对抗攻击方法。以肺部医学影像为基础,依托残差神经网络,在生成器中设计基于扩张卷积的残差块和金字塔分割注意力机制,以提高网络在更细粒度上的多尺度特征表达能力;设置带有辅助分类器的判别器对样本进行正确分类,并且添加攻击者实施对抗训练,以增强对抗样本的攻击能力和稳定GAN的训练。运用无数据黑盒对抗攻击框架训练替代模型,实现可迁移性对抗攻击,获得高黑盒攻击成功率。所提方法在目标攻击和无目标攻击任务下的对抗攻击成功率分别达到了68.95%和79.34%,与其他黑盒场景下基于GAN的对抗方法相比,迁移攻击成功率更高,且生成的对抗样本更接近真实样本。所提方法解决了传统基于GAN的攻击方法难以捕获肺部影像细节特征而导致无法获得更优的对抗性能的问题,对在实际应用场景下提高肺部疾病诊断模型的安全性和鲁棒性提供了参考方案。