Gotta Catch ’Em All

已于 2022-06-07 13:45:47 修改
阅读量386 收藏 1
点赞数 1
分类专栏: 人工智能安全 文章标签: 深度学习 机器学习 人工智能
于 2022-05-31 12:15:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40872714/article/details/125061962
版权

防御对抗攻击:Gotta Catch ’Em All: Using Honeypots to Catch Adversarial Attacks on Neural Networks (CCS '20: Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications SecurityOctober 2020)

论文背景

  深度神经网络 (DNN) 容易受到对抗性攻击(主要的攻击方法:FGSM,PGD,CW,Elastic Net,BPDA,SPSA 暂时没有深入调研攻击方式,后面会陆续给出几种攻击方式的原理),只要提供经过训练的模型,就可以修改输入从而产生错误输出。这些修改后的对抗样本能有效欺骗在不同训练数据不同子集上的训练模型。事实证明,对抗性攻击对部署在现实环境中的模型有效,例如无人驾驶汽车、面部识别和物体识别系统。针对对抗性攻击已有的防御方法主要有两种 “对抗训练(Adversarial training)” 和 “梯度掩蔽(Gradient masking)” 。
  对抗训练:在对抗性训练中,防御者通过将对抗性示例合并到训练数据集中来为模型接种疫苗以抵御给定的攻击。 这种 “对抗性” 训练过程降低了模型对特定已知攻击的敏感性。
  梯度掩蔽:防御者训练一个具有小梯度的模型,使得模型对输入空间上小的变化具有鲁棒性(例如对抗性干扰),“防御性蒸馏” 就是该方法的一个例子,首先正常训练得到模型一 F θ \mathcal{F}_\theta Fθ,然后使用 F θ \mathcal{F}_\theta Fθ输出的分类概率作为输入训练得到模型二 F θ ′ \mathcal{F}^\prime_\theta Fθ, 用 F θ ′ \mathcal{F}^\prime_\theta Fθ替代 F θ \mathcal{F}_\theta Fθ达到梯度掩蔽的目的。
  但是 (1) “对抗训练” 可以使用新的攻击或对已知攻击的不同参数来攻破。(2) “梯度掩蔽" 可以从对抗样本的生成上小的调整可以克服这种防御。

整体框架

图一是
作者提出了一种新的 “陷门防御(trapdoor defense)”
a) 选择需要防御的目标标签。b) 为每个目标标签创建不同的陷门并将它们嵌入到模型中。 为每个嵌入式陷门部署模型并计算激活签名。 c) 可以访问模型的对手构建了一个对抗样本。 在运行时,模型将每个输入的神经元激活特征与陷门的特征进行比较。 因此,它识别出攻击并发出警报。

理论依据

  理论上来说,trapdoor 是为特定的标签 y t y_t yt 设计的特有的扰动,用 Δ \Delta Δ 表示,这样模型会把任何包含 Δ \Delta Δ 的输入 x x x 都分类为 y t y_t yt, 也就是说 F θ ( x + Δ ) = y t , ∀ x \mathcal{F}_{\theta}(x + \Delta) = y_t, \forall x Fθ(x+Δ)=yt,x。对于攻击者来说,如果其目标是 y t y_t yt, 那么就需要找到一个扰动 ϵ \epsilon ϵ 使得 F θ ( x + ϵ ) = y t ≠ F θ ( x ) \mathcal{F}_{\theta}(x + \epsilon) = y_t\not=\mathcal{F}_{\theta}(x) Fθ(x+ϵ)=yt=Fθ(x), 进一步说,就是使得优化函数的损失最小,即 m i n J ( y t , F θ ( x + ϵ ) ) \rm{min} \it{J(y_t,\mathcal{F}_\theta(x+\epsilon))} minJ(yt,Fθ(x+ϵ))。如果一个模型已经注入了 Δ \Delta Δ , 那么攻击者的优化函数会收敛到靠近 trapdoor 的损失函数的邻域内。下图是一个正常模型和trapdoored模型的损失函数的假设图,trapdoor 在A和B之间创造了一个大的局部最小值,攻击者的损失函数会收敛到这个局部最小值(这一部分的理论证明会在后面给出,下面先来看看具体的做法)

单标签防御

Step 1: Embedding Trapdoors

  首先通过将陷门扰动注入随机选择的正常输入并将它们与标签 y t y_t yt 关联而生成的新实例来扩充原始训练数据集,从而创建陷门训练数据集。新实例定义如下
x ′ = x + Δ : = I ( x , M , δ , k ) , x^\prime = x + \Delta := \mathcal{I}(x, \it{M}, \it{\delta}, k), x=x+Δ:=I(x,M,δ,k),
其中 x i , j , c ′ = ( 1 − m i , j , c ) ⋅ x i , j , c + m i , j , c ⋅ δ i , j , c x^{\prime}_{i,j,c} = (1-m_{i,j,c}) \cdot x_{i,j,c} + m_{i,j,c}\cdot \delta_{i,j,c} xi,j,c

最低0.47元/天 解锁文章
Masked Gradient-Based Causal Structure Learning
羊城迷鹿的博客
09-14 809
研究问题 将传统的SEM方程推广到增广形式,并从生成的模拟数据中学习因果图 背景动机 随机控制变量实验可以有效地发现因果结构,但在实际中往往不可行,因此现有方法一般专注于从数据中学习因果结构 基于约束的方法首先学习无向图,然后根据条件概率准则判断出边的方向,这种方法可以识别出因果图的马尔科夫等价类,但是对无向图的精度有较高的要求;基于分数的方法通过预定义的分数函数评估因果图的质量,然后搜索具有最优分数的图,一般可以看成是一个组合优化问题 通过将无环约束转换为一个光滑的表征,基于分数的组合优化问题可以转换为
非锐化掩蔽(Unsharp Masking)与高提升滤波
热门推荐
voicanoo的博客
08-10 3万+
数字图像处理中图像增强算法中常用的两种技术:非锐化掩蔽和高提升滤波       非锐化掩蔽:       顾名思义即减去平滑后的图像,其原理流程图如下:     1、平滑原图像:f->s;     2、从原图像中减去模糊图像,产生的差值图像称为模板:m=f-s;     3、将模板加到原图像中:
Paper review: Using Honeypots to Catch Adversarial Attacks on Neural Network
joymakleson的博客
08-09 670
Gotta CatchEm All: Using Honeypots to Catch Adversarial Attacks on Neural NetworkSummaryStrengthWeaknessComment Summary Strength Weakness Comment
2022.05.17 - 2022.05.22
weixin_40872714的博客
05-17 909
2022-05-17 防御对抗攻击:Gotta CatchEm All: Using Honeypots to Catch Adversarial Attacks on Neural Networks (CCS '20: Proceedings of the 2020 ACM SIGSAC Conference on Computer and Communications SecurityOctober 2020) 论文背景   深度神经网络 (DNN) 容易受到对抗性攻击(主要的攻击方法:FGSM,
Codecraft-17 and Codeforces Round #391 (Div. 1 + Div. 2, combined) A. Gotta Catch Em' All!(水题)
linlinsong—ACM界蒟水!
01-13 516
题目链接:http://codeforces.com/contest/757/problem/AA. Gotta Catch EmAll! time limit per test1 second memory limit per test256 megabytes inputstandard input outputstandard output Bash wants to becom
混淆梯度(Obfuscated Gradients Give a False Sense of Security Circumventing Defense
tyu1853的博客
05-31 4124
下载地址:https://u20150046.ctfile.com/fs/20150046-376633529 论文摘要 我们发现“混淆梯度”(obfuscated gradients)作为一种梯度掩码(gradient masking),会在防御对抗样本中导致一种错误的安全感。虽然造成混淆梯度的防御似乎可以击败基于迭代优化的攻击,但我们发现依赖这种效果的防御可以被规避。我们描述了表现出...
最新综述:图像分类中的对抗机器学习
Paper weekly
10-29 5042
©PaperWeekly 原创 ·作者|孙裕道学校|北京邮电大学博士生研究方向|GAN图像生成、人脸对抗样本生成论文标题:Adversarial Machine Learning in...
Java基础练习:捕捉口袋妖怪全记录
该实验室涉及到的主题是“lab-gotta-catch-em-all”,这可能是指一个由Mike设计的项目,目的是为了给罗斯一个惊喜,因为罗斯是一位宠物小精灵(口袋妖怪)的粉丝。通过创建一个包含罗斯最喜欢的口袋妖怪角色的简单...
掌握Underscore.js实现高效枚举操作
在编程练习中,“Gotta Catch 'Em All”是一个额外的挑战。虽然具体任务未在描述中明确,但它很可能涉及利用 Underscore.js 函数来实现某个复杂的功能,比如筛选所有稀有的 Pokemon,或者创建一个系统来追踪已捕获的...
英语连读及发音
LoVin'i7
02-29 9596
常见发音现象 连读–辅音+元音 当前一个单词以辅音结尾,后一个单词以元音开头,将前面的辅音与后面的元音自然相连,称为“辅音 + 元音”的连读。我们可以想象这个辅音是后一个单词的词首,自然流畅地将辅音与元音连起来读。 听录音,仔细辨别录音中“辅音 + 元音”连读。 On it. I found it. Check it out. Game over! Can I fit this? pick up...
对抗样本与防御方法+所涉及的数学知识和学习方法
一季南凉的博客
06-21 752
总之,对抗样本利用机器学习模型的漏洞,通过引入小的、经过精心设计的扰动来实现,从而导致模型做出错误的预测。理解 softmax 函数、训练损失和 logits 对理解这些攻击如何运作及其防御方法至关重要。这段文本涉及的数学主要集中在机器学习(特别是深度学习)的基础概念和方法上。线性代数向量和矩阵的表示和运算,如神经网络中的权重参数 ( \theta ),输入 ( x ),输出 ( F_\theta(x) ) 等都是向量或矩阵形式。概率论与统计。
对抗样本防御与攻击:模糊梯度和BPDA
weixin_43466027的博客
07-11 1987
原文标题:Obfuscated Gradients Give a False Sense of Security: Circumventing Defenses to Adversarial Examples 摘要 混淆梯度是一种梯度隐蔽方法,用来防御对抗攻击。 混淆梯度有一定效果,但是可以被绕过,而且作者攻击的效果极好。 intro 梯度隐藏:没有梯度,那么攻击者就不能用优化方法完成迭代。 混淆梯度的三种形式: 破碎梯度:梯度不存在、不正确,由数值不稳定性/不可微运算引起 随机梯度:依赖于时间的随机.
深究机器学习的软肋:难以防范的对抗攻击,让机器产生了幻觉
weixin_34195364的博客
03-14 437
本文来自AI新媒体量子位(QbitAI) 对抗范例(adversarial examples),是攻击者为了让机器学习模型产生错误而设计的输入数据,就像“机器产生了幻觉”。在这篇文章中,我们将展示对抗范例了如何通过不同媒介进行攻击,并讨论保护系统免受这种攻击难在何处。 在OpenAI,我们认为对抗范例是安全领域一个值得研究的方面,因为它们代表人工智能...
对抗攻击常见方法汇总
qq_43367558的博客
12-03 1万+
将常见的对抗样本攻击方法汇总,并给出学习链接。
图像对抗样本研究总结
qq_39667860的博客
05-03 2205
1.名词解释 攻击方法 白盒攻击:需要完整的知道model的结构和对应的梯度等信息。 黑盒攻击:不需要完整的知道model的结构和对应的梯度等信息,只需要知道经过该模型的预测结果,用于作为评测的数据输入。 目标攻击:指将原始样本通过攻击后,指定攻击后的结果类别。 非目标攻击:指将原始样本通过攻击后,结果类别与原有的模型类别不同即可。 单步攻击:只需执行一次操作就可获得对抗样本。 迭代攻击:需要执行多步迭代操作才能获得样本。 一般,迭代攻击产生的对抗样本比单步攻击产生的对抗样本效果好,但需要更多的执行时间。
隐私保护与生成模型: 差分隐私GAN的梯度脱敏方法
三金samkam的博客
08-24 2669
一、差分隐私是什么? 这篇文章以差分隐私和生成模型为主要研究对象,针对面临的问题,先介绍相关的背景知识和现有研究方法,后展示解决方案和实验结果。 机器学习模型的训练需要大量的数据喂食,而这些数据的应用就会涉及到个人隐私的问题。而随着数据规模越来越大,隐私问题也获得了更多的关注,而如何保护隐私也逐渐成为了比较热门的研究方向。一个直观的想法是能否利用生成模型来生成数据,既满足了隐私保障,不损害用户的个人隐私,也能满足模型训练对于数据规模的需求,还可以通过机器学习算法的验证。因此这篇文章的主要任务就是实现pr
Pytorch入门之自动梯度模块隐藏梯度和除以批量大小
Ton的博客
10-06 384
前段时间,有同学问我在用神经网络模拟一个线性回归问题时,在SGD中的step()的源码中为何没有出现梯度和除以批量大小的式子,其实这个“除以批量大小”已经被backward()函数计算在内了,step()函数中只需要做学习率与梯度相乘,然后和原梯度相减就行了。至于原因,我将从理论到代码去分析,因为式子太多,打字不方便,就直接写纸上了: ...
对抗攻击与防御 (2):对抗样本的反制策略
因吉的博客
04-27 3661
为了保证神经网络算法的安全性,不同类型的反制策略被相继提出:1)梯度屏蔽/混淆 (gradient asking/obfuscation):相当一部分攻击者利用分类器的梯度信息进行攻击,因此屏蔽或者混淆梯度可以同样混淆攻击者;2)健壮性优化 (robust optimization):重训练DNN分类器可以增强其健壮性,使得其可以正确地预测对抗样本;3)对抗样本检测 (adversarial examples detection):学习原始数据的分布,从而检测到对抗样本并禁止其输入到分类器。
Towards Evaluating the Robustness of Neural Networks》文献阅读笔记
VnK_的博客
05-06 960
本文关于《Towards Evaluating the Robustness of Neural Networks》,对于CW attack以及蒸馏网络有一定的讨论。(博主对于深度学习和对抗样本都还是新手,博文仅是做学习过程中笔记之用,望轻喷^ ^) 1. 《Towards Evaluating the Robustness of Neural Networks》 上周简要学...
idea中 @Autowired private IStudentsService studentsService; 此处画红色波浪线报错studentsService;
最新发布
04-03
### 解决 IntelliJ IDEA 中 `@Autowired` 注解导致的红色波浪线错误 在使用 Spring 框架时,如果遇到 `@Autowired` 注解下的依赖注入对象显示为红色波浪线错误或者黄色警告的情况,通常是由以下几个原因引起的: #### 1. **Spring 插件未启用** 如果 Spring 支持插件未被激活,则可能导致 IDE 无法识别 `@Autowired` 或其他 Spring 特定的功能。可以通过以下方式解决问题: - 打开设置菜单:`File -> Settings -> Plugins`。 - 确认已安装并启用了名为 “Spring Framework Support” 的官方插件[^1]。 #### 2. **项目配置文件缺失或不正确** Spring 需要通过 XML 文件、Java Config 类或其他形式来定义 Bean 定义。如果没有正确加载这些配置文件,可能会导致 `@Autowired` 报错。 - 确保项目的 `applicationContext.xml` 或者基于 Java 的配置类(带有 `@Configuration` 和 `@Bean` 注解)已被正确定义和引入。 - 对于 Spring Boot 项目,确认是否存在 `spring.factories` 文件以及是否包含了必要的组件扫描路径[^3]。 #### 3. **模块依赖关系问题** 当前模块可能缺少对 Spring Core 或 Context 组件库的有效引用。这可能是由于 Maven/Gradle 构建工具中的依赖项声明不足造成的。 - 检查 `pom.xml` (Maven) 或 `build.gradle` (Gradle),确保包含如下核心依赖之一: ```xml <!-- For Maven --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifactId> <version>${spring.version}</version> </dependency> ``` ```gradle // For Gradle implementation 'org.springframework:spring-context:${springVersion}' ``` - 更新项目依赖树以应用更改:右键点击项目根目录 -> `Maven -> Reload Project` 或运行命令 `./gradlew build --refresh-dependencies`。 #### 4. **IDE 缓存损坏** Intellij IDEA 的缓存机制有时会因各种因素而失效,从而引发误报错误。清除缓存可以有效缓解此类情况。 - 使用快捷组合键 `Ctrl + Alt + Shift + S` 进入项目结构对话框;也可以尝试执行操作序列:`File -> Invalidate Caches / Restart... -> Invalidate and Restart`. #### 5. **启动异常影响正常解析** 若之前存在类似 `com.intellij.diagnostic.PluginException` 的严重初始化失败日志记录,则表明某些关键服务未能成功加载,进而干扰到后续功能表现[^2]。建议重新下载最新稳定版本的 IDEA 并按照标准流程完成初次部署工作。 ```java // 示例代码片段展示如何正确运用 @Autowired 注解实现自动装配 @Service public class StudentService { private final Repository repository; public StudentService(@Qualifier("specificRepository") Repository repo){ this.repository = repo; } } @Component class SpecificComponent{ @Autowired private transient StudentService studentService; // 此处应无任何编译期告警现象发生 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值