超级会员免费看
毫米波人体活动识别的通用目标对抗攻击
1. 黑盒攻击实现
黑盒攻击是一种更具挑战性的场景,攻击者通常无法访问受害者模型,只能获取模型的输入和输出。因此,无法通过利用受害者模型的梯度来创建和更新对抗扰动。一种潜在的黑盒攻击方法是训练替代模型,利用对抗样本的可迁移性,用替代模型生成的对抗样本对受害者模型发起攻击。
1.1 训练数据完全可访问的情况
当受害者模型的训练数据完全可访问时,关键挑战是确保目标模型和替代模型的相似性。直接在数据集上训练替代模型通常效果不佳,因为替代模型的结构不同。为了解决这个问题,我们利用知识蒸馏(KD)来学习一个能模仿受害者模型预测的替代模型。
在黑盒场景中,虽然无法访问受害者模型的内部结构,但可以获取其输出类别和软对数,这些信息表示给定输入的类别概率分布。假设目标模型和替代模型的软对数分别为 $P_t$ 和 $P_s$,替代模型的预测类别为 $Z$,真实标签为 $G$。我们将 KD 过程表述为损失函数 $L = L_s + L_d$,其中 $L_s = CrossEntropy(Z, G)$,$L_d = KLDivergence(P_t, P_s)$。通过优化损失函数,我们将受害者模型的暗知识转移到替代模型中。
为了确保黑盒攻击的鲁棒性,我们使用可配置参数 $k$ 来控制攻击的置信度。$k$ 值越大,对抗样本被受害者模型误分类的可能性就越大。在白盒场景中,我们将 $k$ 设置为 0,在黑盒场景中设置较大的 $k$ 值。
1.2 训练数据部分可访问的情况
当受害者模型的原始训练数据仅部分可访问时,为了解决训练数据不足的问题,我们开发了一个生成对抗网络(GAN)来合成足够
订阅专栏 解锁全文
扫一扫
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
