对抗逃避攻击的集成学习研究

发布时间：2021-10-19 11:15

　　机器学习和模式识别的适应性和智能能力使其成为现代应用中无处不在的工具,并已广泛应用于安全领域,如入侵检测,病毒检测,生物身份识别和垃圾邮件过滤。然而,当学习和预测过程中存在对抗操作时,智能系统的优势也可能成为它们的弱点,因此,对抗性学习对传统机器学习的安全性提出质疑。逃避攻击是对抗性学习中常见的攻击之一,攻击者通过修改测试集中恶意样本的特征值以逃避学习系统的检测。因此,如何探索学习系统的漏洞以及提出安全性更高的分类系统已成为研究热点。为了有效解决机器学习中隐含的安全问题,相关文献已提出很多对抗逃避攻击的策略。然而,这些策略在性能方面仍有很大的提升空间,其根本原因在于对抗性学习存在广阔的研究空间。本文从攻击策略和防守策略两个角度讨论了对抗性学习的研究进展,针对对抗逃避攻击的防守策略进行了深入细致的研究和探讨,取得的成果如下:（1）深入探索多分类器在对抗逃避攻击中的应用,讨论了对抗逃避攻击的两种思路,引出新的防守策略的研究方向。现已有文献多侧重于讨论传统机器学习方法是否适用于对抗性环境,并验证了在对抗逃避攻击中多分类器比单分类器更鲁棒。然而,在对抗逃避攻击中,攻击者的先验信息对分类器的鲁棒... 

【文章来源】：山西大学山西省

【文章页数】：61 页

【学位级别】：硕士

【部分图文】：

攻击者的攻击类型

图 2 两种算法的收敛曲线 不同攻击步长对应分类器 EnAttack-SVM-10 的0.005 0.01 0.03 0.05 0.9092 0.9105 0.9077 0.9079 00.8956 0.8959 0.8983 0.8984 00.8739 0.8819 0.8793 0.8817 00.8514 0.8520 0.8622 0.8632 00.8217 0.8308 0.8364 0.8332 00.7930 0.8106 0.8156 0.8169 00.7685 0.7772 0.7896 0.7956 00.7580 0.7605 0.7667 0.7674 00.7278 0.7393 0.7417 0.7420 0

图 4 分类器的性能分析展示基于随机化的多分类器性能以及收敛性，结果如示了分类器在合法样本上的精度，黑色线展示了分类色线展示了分类器在整个测试集上的精度。从图中可加入攻击信息，攻击强度 K 0.3时，分类器在恶意本上的损失；随着攻击强度的增加，分类器在正常样攻击强度 K 2.5时在恶意样本上的损失逐渐增大，意样本上的损失基本不变；同样在整个测试集上的损本算法对合法样本的有较好的泛化性能，而且在实际多需付出的代价，通常攻击强度不超过 1，因此本文定的鲁棒性。同时图 4 中可以看出，当攻击强度 K 不变，说明基于随机化的对抗逃避攻击策略也有较好

【参考文献】：
期刊论文
[1]一种多强度攻击下的对抗逃避攻击集成学习算法[J]. 刘晓琴,王婕婷,钱宇华,王笑月.  计算机科学. 2018(01)
[2]抗好词攻击的中文垃圾邮件过滤模型[J]. 邓蔚,秦志光,刘峤,程红蓉.  电子测量与仪器学报. 2010(12)

博士论文
[1]对抗逃避攻击的防守策略研究[D]. 张非.华南理工大学 2015



本文编号：3444765