对抗攻击的健壮性和隐蔽性研究
发布时间:2020-09-16 17:15
对抗攻击是当前机器学习领域研究的一个热点问题。对抗攻击的原理是通过对抗样本(向原数据样本中添加经过精心训练的人眼不易察觉的微小扰动得到的新样本)来欺骗深度神经网络,使其做出错误判定。对于一些对神经网络安全性和可靠性敏感的应用领域而言,研究对抗攻击技术意义重大。随着关注度不断提高,对抗攻击技术研究在对抗样本生成、攻击技术评价等方面取得了一定成果,但仍存在以下不足:(1)对抗样本健壮性不足,遇到旋转、缩放、平移、斜切等仿射变换处理时攻击易失效;(2)对抗样本隐蔽性不足,攻击扰动容易被人类察觉;(3)对抗样本攻击能力缺乏迁移性,仅对指定分类模型保持较高成功率。本文针对上述问题展开研究,主要贡献归纳如下:(1)提出一种基于空间变换的对抗样本增强方法,以提高对抗样本对旋转、缩放、平移、斜切等仿射变换处理的健壮性。实验结果表明,经过本文方法增强后,FGSM、BIM和DeepFool方法在CIFAR-10数据集上的攻击成功率提高幅度在4%~14%,在GTSRB数据集上的攻击成功率提高幅度在3%~4%。(2)提出一种基于对抗机制的隐蔽对抗样本生成方法,通过引入新的隐蔽性评价约束,并借助对抗训练增强对抗样本的隐蔽性。实验结果表明,本文方法在CIFAR-10数据集上的扰动率为23%以下,与FGSM、BIM和DeepFool等常见攻击方法相比,扰动率降低幅度在8%~35%;在GTSRB数据集上的扰动率为47%以下,降低幅度在15%~24%。(3)提出一种基于生成式对抗网络并融合空间变换增强机制的攻击模型生成方法,实现为不同输入样本自适应产生具备可迁移性和鲁棒性对抗样本。实验结果表明,本文方法在CIFAR-10数据集上的白盒攻击成功率为98%,黑盒攻击成功率为94%;在GSTRB数据集上的白盒攻击成功率为91%,黑盒攻击成功率为66%。与FGSM、BIM、DeepFool和advGAN方法相比,黑盒攻击成功率均有不同程度提高。
【学位单位】:广东技术师范大学
【学位级别】:硕士
【学位年份】:2019
【中图分类】:TP18;TP309
【部分图文】:
成 256x256 和 512x512 大小的图像;NVIDIA 最近发表的关于 pix2pixHD[42]的论文可以生成 2048x1024 大小的真实感图像;甚至像近期提出的无条件 GANs——progressiveGANs[43]也能够生成 1024x1024 大小的图像。Zhao 等人[19]利用 GAN 作为他们生成图像和文本的对抗样本方法的一部分,这使得生成的对抗样本对人类来说更自然,此方法被命名为 Natural GAN。作者首先在数据集上训练了 WGAN 模型[44],其中生成器 G 将随机噪声映射到输入域。他们还训练了一个“逆变器”I 来将输入数据映射到密集的内部表示。因此,通过最小化诸如“特征对手”之类的内部表示距离来产生扰动。生成器 G 和逆变器I 都是为了使构建的对抗样本看起来自然。由于 Natural GAN 不需要原始神经网络的梯度,因此它也可以应用于黑盒攻击。Xiao 等人[20]也采用 GAN 的结构来生成对抗样本,提出一种名为 advGAN 的网络,并在半白盒和黑盒攻击设置中应用,实验结果表明,能有效提高黑盒攻击成功率。因此,基于 GAN 的攻击架构有广泛的适用性和实用性。本研究采用的 GAN 模型就是基于 WGAN 结构,整个模型是全卷积的,具体如图 2-3 所示。
(a) (b)图 2-4 几何变换示例4 对抗攻击与防御4.1 对抗样本在文献[11]中描述的两个神经网络的特征是最初产生对抗样本的理论基础:第个神经元的语义有关。一般都是通过寻找最大限度地激活给定神经元的输入集个神经元的语义。对单个神经元的检查使得隐含的假设对于提取语义信息特即最后一个特征层的神经元构成一个特殊的基础。但后来发现,包含大部分语似乎是整个激活空间,而不是单个神经元。第二个与神经网络相对于输入的微稳定性有关。假设有一个性能优异的深度神经网络,它能很好地完成图像识别任期望这样的网络对其输入的微小扰动具有鲁棒性,因为细微的扰动不能改变图
图 2-5 基于梯度的对抗攻击[49]抗样本生成方法同的场景、假设和需求,攻击者会部署特定的攻击方法,生成不本节将从攻击者的知识、攻击的专一性和攻击频率三个维度对攻击者具备的知识,攻击方法可分为白盒攻击(White-box attackox attacks)。白盒攻击假定攻击者知道与目标模型相关的一切,结构、训练方法等,在某些情况下还包括它的训练数据。黑盒攻型的了解有限,攻击者无法获取目标模型的参数或结构,只知道信度)。这种方式在攻击在线机器学习服务时很常见,但现有的盒攻击。不过,Papernot 等人[51]提出对抗样本具有可迁移性,它击中。除此之外,还有一种比较特殊的攻击,是灰盒攻击(gray-
【学位单位】:广东技术师范大学
【学位级别】:硕士
【学位年份】:2019
【中图分类】:TP18;TP309
【部分图文】:
成 256x256 和 512x512 大小的图像;NVIDIA 最近发表的关于 pix2pixHD[42]的论文可以生成 2048x1024 大小的真实感图像;甚至像近期提出的无条件 GANs——progressiveGANs[43]也能够生成 1024x1024 大小的图像。Zhao 等人[19]利用 GAN 作为他们生成图像和文本的对抗样本方法的一部分,这使得生成的对抗样本对人类来说更自然,此方法被命名为 Natural GAN。作者首先在数据集上训练了 WGAN 模型[44],其中生成器 G 将随机噪声映射到输入域。他们还训练了一个“逆变器”I 来将输入数据映射到密集的内部表示。因此,通过最小化诸如“特征对手”之类的内部表示距离来产生扰动。生成器 G 和逆变器I 都是为了使构建的对抗样本看起来自然。由于 Natural GAN 不需要原始神经网络的梯度,因此它也可以应用于黑盒攻击。Xiao 等人[20]也采用 GAN 的结构来生成对抗样本,提出一种名为 advGAN 的网络,并在半白盒和黑盒攻击设置中应用,实验结果表明,能有效提高黑盒攻击成功率。因此,基于 GAN 的攻击架构有广泛的适用性和实用性。本研究采用的 GAN 模型就是基于 WGAN 结构,整个模型是全卷积的,具体如图 2-3 所示。
(a) (b)图 2-4 几何变换示例4 对抗攻击与防御4.1 对抗样本在文献[11]中描述的两个神经网络的特征是最初产生对抗样本的理论基础:第个神经元的语义有关。一般都是通过寻找最大限度地激活给定神经元的输入集个神经元的语义。对单个神经元的检查使得隐含的假设对于提取语义信息特即最后一个特征层的神经元构成一个特殊的基础。但后来发现,包含大部分语似乎是整个激活空间,而不是单个神经元。第二个与神经网络相对于输入的微稳定性有关。假设有一个性能优异的深度神经网络,它能很好地完成图像识别任期望这样的网络对其输入的微小扰动具有鲁棒性,因为细微的扰动不能改变图
图 2-5 基于梯度的对抗攻击[49]抗样本生成方法同的场景、假设和需求,攻击者会部署特定的攻击方法,生成不本节将从攻击者的知识、攻击的专一性和攻击频率三个维度对攻击者具备的知识,攻击方法可分为白盒攻击(White-box attackox attacks)。白盒攻击假定攻击者知道与目标模型相关的一切,结构、训练方法等,在某些情况下还包括它的训练数据。黑盒攻型的了解有限,攻击者无法获取目标模型的参数或结构,只知道信度)。这种方式在攻击在线机器学习服务时很常见,但现有的盒攻击。不过,Papernot 等人[51]提出对抗样本具有可迁移性,它击中。除此之外,还有一种比较特殊的攻击,是灰盒攻击(gray-
【相似文献】
相关期刊论文 前10条
1 胡悦;;金融市场中的神经网络拐点预测法[J];金融经济;2017年18期
2 迟惠生;陈珂;;1995年世界神经网络大会述评[J];国际学术动态;1996年01期
3 吴立可;;脉冲神经网络和行为识别[J];通讯世界;2018年12期
4 林嘉应;郑柏伦;刘捷;;基于卷积神经网络的船舶分类模型[J];信息技术与信息化;2019年02期
5 俞颂华;;卷积神经网络的发展与应用综述[J];信息通信;2019年02期
6 韩真;凯文·哈特尼特;;为神经网络的通用理论建造基石[J];世界科学;2019年04期
7 鲍伟强;陈娟;熊涛;;基于进化神经网络的短期电力负荷预测研究[J];电工技术;2019年11期
8 陈晓燕;;浅析简单神经网络的发展及简单模型[J];数字技术与应用;2019年05期
9 李青华;李翠平;张静;陈红;王绍卿;;深度神经网络压缩综述[J];计算机科学;2019年09期
10 刘高宇;;深度神经网络在煤质数据分析与预测中的应用[J];电脑知识与技术;2019年28期
相关会议论文 前10条
1 孙军田;张U
本文编号:2820133
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/2820133.html
