基于改进积分梯度的黑盒迁移攻击算法

对抗样本可以轻易攻击深度神经网络,影响模型的使用安全。虽然白盒攻击方法有优秀的成功率,但是在黑盒迁移攻击时通常表现出较差的效果。目前最先进的TAIG算法基于积分梯度,可以提升对抗样本的迁移性。但研究发现其积分路径缺失到饱和区的有效信息,并且使用不恰当的基线和梯度计算,限制了算法攻击成功率的上限。改进了积分梯度并提出了IIGA攻击算法(improved integrated gradients attack)。改进积分梯度将有限路径扩展为无限路径,融合输入到真实饱和区的梯度累计,可以表征每个分量更准确的重要性;并提出信息熵基线,确保基线相对于模型不含任何信息。IIGA将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向,平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点,使梯度信息集中于视觉特征,并在迭代过程中加入动量信息稳定梯度方向。在ImageNet数据集上进行的大量实验表明IIGA不仅在白盒攻击下优于FGSM、C&W等算法,在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG等先进的算法。

梯度聚合增强对抗样本迁移性方法

基于深度神经网络的图像分类模型容易受到对抗样本的攻击。现有研究表明,白盒攻击已经能够实现较高的攻击成功率,但在攻击其他模型时对抗样本的可迁移性较低。为提高对抗攻击的可迁移性,提出一种梯度聚合增强对抗样本迁移性方法。将原始图像与其他类别图像以特定比例进行混合,得到混合图像。通过综合考虑不同类别图像的信息,并平衡各类别之间的梯度贡献,可以避免局部振荡的影响。在迭代过程中聚合当前点的邻域其他数据点的梯度信息以优化梯度方向,避免对单一数据点的过度依赖,从而生成具有更强迁移性的对抗样本。在ImageNet数据集上的实验结果表明,所提方法显著提高了黑盒攻击的成功率和对抗样本的可迁移性。在单模型攻击上,该方法在四种常规训练模型的平均攻击成功率为88.5%,相比Admix方法提升了2.7个百分点;在集成模型攻击上平均攻击成功率达到了92.7%。此外,该方法可以与基于转换的对抗攻击方法相融合,在三种对抗训练模型上平均攻击成功率相较Admix方法提高了10.1个百分点,增强了对抗攻击的可迁移性。

基于对抗样本的负图片对分类网络的影响探究

将原始的样本图片(正图片)转换为负图片后,物体的关键类别信息可以保留,能被人类正确分类,但一般的神经网络模型对于负图片的识别能力较弱。人工智能领域,研究者更加追求模型在原始图片上的表现,鲜有对于负图片样本的研究工作。为了探索负图片特征对于模型学习的影响,针对MNIST、CIFAR10、ImageNet三种图片数据集,采用特征图的可视化呈现、不同场景下的识别能力比较等手段,对由正样本集,负样本集,正负混合样本集训练的三种模型进行研究。发现正负样本在模型的特征空间中具有一致性,使网络能够同时拟合正负图片。从准确性角度看,负样本的加入调整了网络深层的特征空间,使正负图片对每个类别的置信度输出统一、类内样本的分布更加紧凑。从对抗鲁棒性的角度看,学习到正负图片特征的模型在对抗扰动上也呈现出对称性,此外,经过负样本训练出的模型可以在一定程度上抵抗一般模型的迁移攻击。

基于稳定Adam和空间域变换的对抗样本生成算法

深度神经网络广泛应用于图像分类、目标检测、自然语言处理等领域,但其容易受到对抗样本攻击。现有的多数攻击都是基于快速梯度符号法,通过在输入中添加相同幅度的扰动达到攻击效果,这些方法虽然有效但并不利于快速找到具有泛化能力的对抗样本。针对对抗样本的泛化性,提出一种结合稳定自适应矩估计和空间域变换的梯度优化算法来改进现有的对抗样本生成算法。将Nesterov算法引入一阶矩估计的更新中,基于AdaBelief算法,将Belief参数应用于二阶矩估计,同时根据指数衰减率计算衰减步长以获取更稳定的梯度。从数据增强的角度考虑,在对抗样本生成的过程中将输入样本在空间域进行变换,通过加权不同变换的梯度来更新原有梯度,从而提高对抗样本的可迁移性。实验结果表明,改进算法对抗样本性能显著提升,其白盒攻击成功率能够保持在99.6%以上,同时黑盒攻击成功率可提高到74.5%。

面向场景文本检测模型的迁移对抗攻击

针对场景文本检测算法的攻击算法不能有效兼顾迁移性、隐蔽性和攻击效果的问题,提出MIFGSM-W攻击算法。算法提出通用概率图,引入动量项获取稳定的梯度更新方向;使用可微函数替代标准二值化函数,构造损失函数;引入变量,并提出改进的优化策略,约束扰动;提出个体攻击算法及通用攻击算法。在多个数据集上实验,结果表明:该攻击算法能够有效攻击EAST,Textbox++,Craft,DBNet场景文本检测模型,且生成的对抗样本兼顾迁移性和视觉隐蔽性。

基于生成对抗网络的目标检测黑盒迁移攻击算法

目标检测被广泛应用到自动驾驶、工业、医疗等各个领域.利用目标检测算法解决不同领域中的关键任务逐渐成为主流.然而基于深度学习的目标检测模型在对抗样本攻击下,模型的鲁棒性存在严重不足,通过加入微小扰动构造的对抗样本很容易使模型预测出错.这极大地限制了目标检测模型在关键安全领域的应用.在实际应用中的模型普遍是黑盒模型,现有的针对目标检测模型的黑盒攻击相关研究不足,存在鲁棒性评测不全面,黑盒攻击成功率较低,攻击消耗资源较高等问题.针对上述问题,提出基于生成对抗网络的目标检测黑盒攻击算法,所提算法利用融合注意力机制的生成网络直接输出对抗扰动,并使用替代模型的损失和所提的类别注意力损失共同优化生成网络参数,可以支持定向攻击和消失攻击两种场景.在Pascal VOC数据集和MS COCO数据集上的实验结果表明,所提方法比目前攻击方法的黑盒迁移攻击成功率更高,并且可以在不同数据集之间进行迁移攻击.

基于龙格库塔法的对抗攻击方法

深度神经网络在许多领域中取得了显著的成果,但相关研究结果表明,深度神经网络很容易受到对抗样本的影响.基于梯度的攻击是一种流行的对抗攻击,引起了人们的广泛关注.研究基于梯度的对抗攻击与常微分方程数值解法之间的关系,并提出一种新的基于常微分方程数值解法-龙格库塔法的对抗攻击方法.根据龙格库塔法中的预测思想,首先在原始样本中添加扰动构建预测样本,然后将损失函数对于原始输入样本和预测样本的梯度信息进行线性组合,以确定生成对抗样本中需要添加的扰动.不同于已有的方法,所提出的方法借助于龙格库塔法中的预测思想来获取未来的梯度信息(即损失函数对于预测样本的梯度),并将其用于确定所要添加的对抗扰动.该对抗攻击具有良好的可扩展性,可以非常容易地集成到现有的所有基于梯度的攻击方法.大量的实验结果表明,相比于现有的先进方法,所提出的方法可以达到更高的攻击成功率和更好的迁移性.

面向工控系统未知攻击的域迁移入侵检测方法

针对工业控制系统(ICS)数据匮乏、工控入侵检测系统对未知攻击检测效果差的问题,提出一种基于生成对抗迁移学习网络的工控系统未知攻击入侵检测方法(GATL)。首先,引入因果推理和跨域特征映射关系对数据进行重构,提高数据的可理解性和可靠性;其次,由于源域和目标域数据不平衡,采用基于域混淆的条件生成对抗网络(GAN)增加目标域数据集的规模和多样性;最后,通过域对抗迁移学习融合数据的差异性、共性,提高工控入侵检测模型对目标域未知攻击的检测和泛化能力。实验结果表明,在工控网络标准数据集上,GATL在保持已知攻击高检测率的情况下,对目标域的未知攻击检测的F1-score平均为81.59%,相较于动态对抗适应网络(DAAN)和信息增强的对抗域自适应(IADA)方法分别提升了63.21和64.04个百分点。

通过拉普拉斯平滑梯度提高对抗样本的可迁移性

深度神经网络因模型自身结构的脆弱性,容易受对抗样本的攻击。现有的对抗样本生成方法具有较高的白盒攻击率,但在攻击其他DNN模型时可转移性有限。为了提升黑盒迁移攻击成功率,提出了一种利用拉普拉斯平滑梯度的可迁移对抗攻击方法。该方法在基于梯度的黑盒迁移攻击方法上做了改进,先利用拉普拉斯平滑对输入图片的梯度进行平滑,将平滑后的梯度输入利用梯度攻击的攻击方法中继续用于计算,旨在提高对抗样本在不同模型之间的迁移能力。拉普拉斯平滑的优点在于它可以有效地降低噪声和异常值对数据的影响,从而提高数据的可靠性和稳定性。通过在多个模型上进行评估,该方法进一步提高了对抗样本的迁移成功率,最佳的可迁移成功率比基线攻击方法高出2%。结果表明,该方法对于增强对抗攻击算法的迁移性能具有重要意义,为进一步研究和应用提供了新的思路。

面向骨骼动作识别的优化梯度感知对抗攻击方法

基于骨骼的动作识别模型被广泛应用于自动驾驶、行为监测和动作分析等领域。一些研究表明,这些模型容易受到对抗攻击,引发了一系列安全漏洞和隐私问题。虽然现有攻击方法在白盒攻击下能够取得较高的成功率,但是这些方法都需要攻击者获得模型的全部参数,这在现实场景中不易实现,且在黑盒攻击下的可迁移性较差。为了解决上述问题,文章提出一种面向骨骼动作识别的优化梯度感知对抗攻击方法NAG-PA。该方法在梯度计算的每次迭代中都优先估计下一步参数更新后的值,并在更新后的位置进行梯度累积。同时,对当前位置进行修正,避免落入局部极值,从而提高对抗样本的可迁移性。此外,文章所提方法还使用了感知损失以确保迁移攻击具有不可感知性。在现有公开数据集和骨骼动作识别模型上的实验结果表明,文章所提方法可以显著提高对抗攻击的可迁移性。

基于机器学习的零日攻击检测技术综述

在当今信息时代,网络攻击已经成为危害严重的全球性问题。零日(0-day)攻击,即利用未知漏洞进攻目标系统,是最具挑战性的攻击之一。传统的基于签名的检测算法在检测零日攻击方面效果甚微,因为零日攻击的签名通常是不可知的。基于机器学习的检测方法能够捕捉攻击的统计特征,因此有望能用于零日攻击检测。本文对基于机器学习的零日攻击检测算法进行了全面回顾,主要包括无监督机器学习算法、监督机器学习算法、混合学习算法以及迁移学习算法。通过评估各类基于机器学习的零日检测算法发现,机器学习技术在零日攻击检测领域具有重要的应用价值。基于机器学习的零日攻击检测算法及相关软件可以辅助安全分析师捕捉未知威胁,提高零日攻击的分析效率和精度,降低零日攻击威胁分析成本,保护机构及组织的资产安全。

基于重要特征的视觉目标跟踪可迁移黑盒攻击方法

视频目标跟踪的黑盒攻击方法受到越来越多的关注,目的是评估目标跟踪器的稳健性,进而提升跟踪器的安全性.目前大部分的研究都是基于查询的黑盒攻击,尽管取得较好的攻击效果,但在实际应用中往往不能获取大量的查询以进行攻击.本文提出一种基于迁移的黑盒攻击方法,通过对特征中与跟踪目标高度相关而不受源模型影响的重要特征进行攻击,将其重要程度降低,同时增强不重要的特征以实现具有可迁移性的攻击,即通过反向传播获得的所对应的梯度来体现其特征的重要程度,随后通过梯度得到的加权特征进行攻击.此外,本文使用视频相邻两帧之间相似这一时序信息,提出基于时序感知的特征相似性攻击方法,通过减小相邻帧之间的特征相似度以进行攻击.本文在目前主流的深度学习目标跟踪器上评估了提出的攻击方法,在多个数据集上的实验结果证明了本文方法的有效性及强可迁移性,在OTB数据集中,SiamRPN跟踪模型被攻击后跟踪成功率以及精确度分别下降了71.5%和79.9%.

负荷重分配攻击下电–气系统损失评估与脆弱性分析

在电力信息物理系统中,负荷重分配(load redistribution,LR)攻击是一种常见的虚假数据注入攻击。而在天然气网与电网耦合紧密的背景下,针对电–气耦合系统(integrated electricity natural gas system,IEGS)的负荷重分配攻击可能会对系统的安全运行造成更严重的影响。因此本文对电–气耦合下的LR攻击展开深入研究。首先,在分析IEGS双侧协同LR攻击作用机理的基础上,研究LR攻击的实施策略。其次,计及连锁故障对电网的影响,以IEGS经济损失最大为目标函数,建立IEGS下LR攻击的损失评估模型,统一度量了不同能源子系统的损失,量化了不同场景下LR攻击对系统安全经济运行的风险,定义了新的节点综合脆弱性评价指标,全面深层次分析IEGS中的高脆弱性节点。再次,对天然气管道流量方程中的非线性项进行线性化处理,将IEGS调度模型转化并添加到攻击者模型中,作为Karush–Kuhn–Tucher(KKT)最优条件,从而将整个模型转换为混合整数线性规划问题。最后,在IEEE 39节点和改进比利时20节点算例系统上,进行了3种LR攻击场景的仿真,验证了3种攻击在不同攻击资源下的攻击效果,分析了系统高脆弱性节点的分布与变化,并给出了针对不同LR攻击形式的系统综合保护策略。实验结果表明,双侧协同LR攻击会对系统造成更严重的损失,但依据本文评估和分析方法采取综合保护策略后,系统损失显著降低。

入侵检测知识对抗与迁移实验设计

设计了基于对抗域适应迁移学习的入侵检测攻防两面性实验。实验基于课题组科研成果,针对对抗域适应迁移模型,提出通过增设迁移学习不同阶段的域对齐来提高迁移能力,以及利用增强域损失评判函数,实现入侵检测防御知识迁移的实验设计思路。实验中,组织学生利用对抗神经网络,分别实施网络攻击数据伪造和迁移学习入侵检测知识防御,仿真了“攻防”场景,有利于学生深入掌握对抗域适应和迁移学习的入侵检测前沿技术与发展趋势。

一种加权最大化激活的无数据通用对抗攻击

对抗攻击产生的对抗样本能够影响神经网络在图像分类任务中的预测结果。由于对抗样本难以察觉,具有迁移性,即同一个对抗样本能干扰不同结构模型的判断,因此制作对抗扰动,生成对抗样本在检测模型缺陷等方面有重大意义。近几年提出的无数据通用对抗攻击在无数据条件下仅通过最大化激活所有卷积层的激活值来制作对抗扰动,更加接近模型真实应用场景,但忽略了不同的卷积层提取的特征差异,导致对抗样本迁移性较差。现提出一种加权最大化激活的无数据通用攻击方法,为每个卷积层赋予相应的权重,利用不同卷积层激活值对通用扰动的影响,提高对抗样本的迁移性。在ImageNet验证集上的实验表明,加权最大化激活攻击方法相比于其他方法具有良好的攻击效果;消融实验表明,通用对抗扰动能够从浅层卷积层学习泛化特征,具有更好的迁移性。

基于AdaN自适应梯度优化的图像对抗迁移攻击方法

大部分网络模型在面临对抗攻击时表现不佳,这给网络算法的安全性带来了严重威胁。因此,对抗攻击已成为评估网络模型安全性的有效方式之一。现有的白盒攻击方法已经能够取得较高的攻击成功率,但是在黑盒攻击条件下,攻击成功率还有待提升。文章以梯度优化为出发点,将自适应梯度优化算法AdaN引入对抗样本生成过程中,以加速收敛,使梯度更新方向更稳定,从而增强对抗攻击的迁移性。为了进一步增强攻击效果,将文章所提方法与其他数据增强方法进行结合,从而形成攻击成功率更高的攻击方法。此外,还通过集成多个已知模型生成对抗样本,以便对已进行对抗训练的网络模型进行更有效的黑盒攻击。实验结果表明,采用AdaN梯度优化的对抗样本在黑盒攻击成功率上高于当前的基准方法,并具有更好的迁移性。

基于显著区域优化的对抗样本攻击方法

在计算机视觉任务中,以卷积神经网络为基础的图像分类模型得到广泛应用,但因其自身的脆弱性容易受到对抗样本的攻击。目前的攻击方法大多会对整张图像进行攻击,产生的全局扰动影响了对抗样本的视觉质量。针对这一问题,提出一种基于显著区域优化的对抗样本攻击方法,利用显著目标检测技术为每张原始图像生成显著图,并将其二值化为显著掩模,将该掩模与对抗扰动相结合,使显著区域内的对抗扰动保留下来,实现对抗扰动的局部添加。通过引入Nadam优化算法,稳定损失函数更新方向并动态调整学习率,提高损失函数收敛速度,从而在保持较高黑盒攻击成功率的同时,有效降低对抗扰动的可察觉性。在ImageNet数据集上分别进行单模型和集成模型环境下的对抗攻击实验,并对各方法生成的对抗样本图像质量进行对比分析,结果表明,与基准方法相比,该方法在集成模型攻击中的隐蔽性指标实现了27.2%的性能提升,黑盒攻击成功率最高达到了92.7%的水平。

基于输入通道拆分的对抗攻击迁移性增强算法

深度神经网络已被应用于人脸识别、自动驾驶等场景中,但容易受到对抗样本的攻击。对抗样本的生成方法被分为白盒攻击和黑盒攻击,当对抗攻击算法攻击白盒模型时存在过拟合问题,导致生成对抗样本的迁移性降低。提出一种用于生成高迁移性对抗样本的对抗攻击算法CSA。在每次迭代过程中,通过对输入RGB图片的通道进行拆分,得到三张具有一个通道的输入图片,并对其进行零值填充,获得三张具有三个通道的输入图片。将最终得到的图片与原始RGB输入图片共同传入到模型中进行梯度计算,调整原始梯度的更新方向,避免出现局部最优。在此基础上,通过符号法生成对抗样本。在ImageNet数据集上的实验验证该算法的有效性,结果表明,CSA算法能够有效提高对抗攻击的迁移性,在四种常规训练模型上的攻击成功率平均为84.2%,与DIM、TIM结合所得DI-TI-CSA算法在三种对抗训练黑盒模型上的攻击成功率平均为94.7%,对七种防御模型的攻击成功率平均为91.8%。

宫颈癌中CA125、CA153、CRP/ALB水平变化及与肿瘤侵袭转移的相关性

目的 探究宫颈癌中CA125、CA153、CRP/ALB水平变化及与肿瘤侵袭转移的相关性。方法 选取158例宫颈癌患者作为研究组(n=158),选取同期进行体检的76例健康女性作为对照组(n=76)。对2组研究对象血清中CA125、CA153、CRP/ALB的水平进行比较,分析宫颈癌患者血清中CA125、CA153、CRP/ALB水平与临床分期及病理特征的关系,采用Spearman分析血清中CA125、CA153、CRP/ALB水平与临床分期的相关性,宫颈癌患者血清中CA125、CA153、CRP/ALB单独及联合检测的诊断价值。结果 研究组患者血清中CA125、CA153的水平及CRP/ALB比值均明显高于对照组(P<0.05)。肿瘤直径≥4 cm的患者三项指标水平均明显高于直径<4 cm的患者(P<0.05);临床分期与三项指标呈正相关,分期越高其表达水平越高(P<0.05);腺癌患者的三项指标水平也均明显高于鳞癌患者(P<0.05);存在淋巴结转移患者的三项指标均明显高于无转移的患者(P<0.05)。经Spearman相关性分析可知,临床分期、肿瘤直径与患者临床血清指标CA125、CA153、CRP/ALB水平均呈正相关性(P<0.05)。经ROC曲线分析可得,CA125、CA153、CRP/ALB诊断宫颈癌的截断值分别为38.50、37.24、1.40;单独及联合诊断的AUC值分别为0.800、0.857、0.803、0.980。结论 宫颈癌患者血清中CA125、CA153、CRP/ALB的比值水平明显升高,且CA125、CA153、CRP/ALB水平与患者临床分期及肿瘤直径均呈正相关,可用于辅助宫颈癌的诊断治疗,三项指标联合诊断价值更高。

应用引导积分梯度的对抗样本生成

给图片添加特定扰动可以生成对抗样本,误导深度神经网络输出错误结果,更加强力的攻击方法可以促进网络模型安全性和鲁棒性的研究.攻击方法分为白盒攻击和黑盒攻击,对抗样本的迁移性可以借已知模型生成结果来攻击其他黑盒模型.基于直线积分梯度的攻击TAIG-S可以生成具有较强迁移性的样本,但是在直线路径中会受噪声影响,叠加与预测结果无关的像素梯度,影响了攻击成功率.所提出的Guided-TAIG方法引入引导积分梯度,在每一段积分路径计算上采用自适应调整的方式,纠正绝对值较低的部分像素值,并且在一定区间内寻找下一步的起点,规避了无意义的梯度噪声累积.基于ImageNet数据集上的实验表明,Guided-TAIG在CNN和Transformer架构模型上的白盒攻击性能均优于FGSM、C&W、TAIG-S等方法,并且制作的扰动更小,黑盒模式下迁移攻击性能更强,表明了所提方法的有效性.