本文探讨了深度学习模型在对抗性示例攻击下的防御策略,如WTF-PAD(基于自适应填充)和深度指纹防御(DFD),以及它们在白盒和黑盒攻击中的表现。研究还介绍了基于DNN和CNN的特征提取方法,并进行了实验评估。
2020
对抗性示例
目标:置信度降低、非目标错误分类、目标错误分类
能力:分为白盒攻击和黑盒攻击。在白盒攻击中,对手可以访问模型架构或训练数据,而在黑盒攻击中,对手只能访问模型。 在本研究中,我们最初假设对手不具备分类器的先验知识,并且仅具有对模型的预言机访问权限。 后来,我们放宽了假设,即对手知道深度学习分类器和所使用的防御。 此外,对手的目标是进行无针对性的错误分类。
方法
传统防御
WTF-PAD:基于自适应填充,最初旨在防御端到端流量分析。 “自适应”意味着防御者根据数据包间到达时间的真实分布注入虚拟消息,以破坏数据包流的时间特征。同时,通过在每个突发的末尾注入这些虚拟消息(即突发填充),隐藏卷信息和突发边界以防御WF。 虽然 WTF-PAD 在传统机器学习中表现出鲁棒性,但在 CNN 和 DNN 中却很脆弱。
WTF-PAD 是一种零延迟方案,这意味着真正的消息在没有缓冲或阻塞的情况下发送出去。然而,这种设计也将流量特征和模式暴露给对手。一旦出端口的空闲时间达到一定阈值,WTF-PAD就会启动填充过程,因此真实消息可以在填充之前来回传送。更具体地说,WTF-PAD的全双工通信机制导致突发时间短,这意味着在数据包流中可以观察到两个连续的真实突发
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
