黑盒攻击(为什么选择基于迁移的攻击)

最新推荐文章于 2025-10-12 22:19:45 发布
原创 最新推荐文章于 2025-10-12 22:19:45 发布 · 3.4k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#对抗样本 #计算机视觉

文章对比了黑盒攻击和白盒攻击,重点讨论了在黑盒攻击中基于迁移的攻击策略。这种攻击方式利用已知信息推断目标模型行为,适用于模型不可知性和数据复用场景,能有效评估模型的鲁棒性和泛化能力。

文章目录

白盒攻击 VS. 黑盒攻击

黑盒攻击(Black Box Attacks)和白盒攻击(White Box Attacks)是常见的针对机器学习模型的攻击方式。它们的区别在于攻击者对目标模型的了解程度。

  1. 黑盒攻击:
    黑盒攻击是指攻击者对目标模型缺乏完全的内部信息和访问权限,只能通过输入和输出来观察模型的行为。攻击者无法获取目标模型的结构、参数、算法等详细信息。在黑盒攻击中,攻击者通常通过试探和分析来推断模型的行为,并生成特定的输入以欺骗或破坏目标模型。

黑盒攻击可以分为基于查询的攻击和基于迁移的攻击两种类型:

  • 基于查询的攻击:攻击者通过向目标模型发送特定的查询样本,并观察模型的输出,通过分析不同查询样本和输出之间的关联关系,推断模型的性质和脆弱点,从而生成有效的攻击样本。
  • 基于迁移的攻击:攻击者利用已有知识、数据或模型,将这些信息迁移到目标模型上,以推断目标模型的行为并进行攻击。通过迁移学习、模型迁移或特征迁移等技术,攻击者可以对目标模型进行攻击,即使对目标模型的内部信息一无所知。
  1. 白盒攻击:
    白盒攻击是指攻击者具有完全的内部信息和访问权限,可以全面了解目标模型的结构、参数、算法和训练数据等细节。在白盒攻击中,攻击者可以直接分析和修改模型的内部元素来进行攻击。

白盒攻击相比黑盒攻击更有优势,攻击者可以利用目标模型的内部信息进行更加精确和有效的攻击。常见的白盒攻击包括梯度攻击(Gradient Attack)、模型逆向(Model Inversion)、模型篡改(Model Tampering)等方法。这些攻击方法利用对目标模型的完全了解来生成欺骗性样本或修改模型的行为,从而达到攻击目的。

总之,黑盒攻击是在缺乏目标模型完全内部信息的情况下进行的攻击,基于观察模型输入输出的行为进行推断和攻击。而白盒攻击则是在完全了解目标模型的内部信息和工作原理的基础上进行的攻击。选择使用哪种攻击方式取决于攻击者能够获取的模型信息和目标攻击的目的。

最低0.47元/天 解锁文章
剖析GhostNet:AI黑盒攻击的本质探讨
AI天才研究院
08-05 924
剖析GhostNet:AI黑盒攻击的本质探讨 1.背景介绍 1.1 人工智能系统的脆弱性 1.2 对抗性攻击的兴起 1.3 G
LVIA通过优化潜在变量融合迁移与查询攻击的高效黑盒攻击框架
优快云XXCQ的博客
08-28 78
但这种方法本质还是在像素空间优化,迁移攻击得到的扰动可能已经是一个"不良"的局部最优点,后续的查询优化难以跳出这个坑,导致效果提升有限,查询效率的改善也不显著。实验会显示,当用一个模型(如Inc-v3)做替代模型,去攻击不同结构的目标模型(如ResNet-50)时,LVIA依然能保持很高的成功率和极低的查询次数,证明了其鲁棒性和实用性。传统思路是简单地将两种方法串联(先做迁移攻击,再用其输出作为查询攻击的起点),但这种方法容易陷入迁移攻击带来的局部最优解,后续查询优化难以跳出,效果提升有限。
初探对抗攻击——黑盒攻击&白盒攻击
热门推荐
WwwwHy搞的烂活
10-23 1万+
# 系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录# 系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,
AidLux智慧交通AI安全之对抗攻击算法
matlab_xiaogen的博客
12-06 1459
AidLux智慧交通AI安全之对抗攻击算法 输出结果:校车误判为缝纫机
AI安全学习 | 深入浅出:白盒对抗攻击实践
最新发布
hwh2542782326的博客
10-12 1383
本文对经典的几种白盒攻击方法进行详细解释,内容从理论到代码实现,并且可视化展现了攻击的效果,看完你会对对抗攻击有更深入的理解
科研论文之Latex(高效方法)
算法探索之路
04-04 1665
在线latex不需要配置任何环境,导入压缩包直接使用。但是会出现偶尔掉线,经常重新连接。在线转换表格为latex code,无需下载。最大支持500行20列的表格。可自定义表格框线、字体、颜色、居中排列等等 界面简洁,操作方便,速度快。可导入CSV文件,也可直接粘贴数。
Simple Black-box Adversarial Attacks
Seaern的博客
11-28 1800
我们提出了一种有趣的简单方法,用于在黑盒环境中构建对抗性图像。与白盒场景相比,构建黑盒对抗图像对查询预算有额外的限制,而有效的攻击至今仍是一个悬而未决的问题。仅在连续值置信分数的温和假设下,我们的高效查询算法利用了以下简单的迭代原理: 我们从预定义的正交基中随机采样向量,并将其添加或减去到目标图像中。尽管简单,但所提出的方法既可以用于无目标攻击,也可以用于有目标攻击,这在两种设置中都带来了前所未有的查询效率。
基于梯度的黑盒迁移对抗攻击(附代码)
欢迎来到道的世界
08-06 4681
黑盒迁移攻击是对抗攻击中非常热门的一个研究方向,基于动量梯度的方法又是黑盒迁移攻击的一个主流方向。当前大部分研究主要通过在数据样本的尺寸,分布,规模,时序等方面来丰富梯度的多样性,使得生成的对抗样本迁移到其它的模型攻击时,能够有更高的攻击成功率。本文会介绍最近几年有代表性的黑盒迁移攻击的论文,这些论文的方法经常会被当成论文比较的baseline。我对论文中涉及到一些数学结论进行补充证明,大部分论文中给出的源码是tensorflow的,我又根据论文的算法流程图用pytorch对论文的核心方法重新编程了一下
黑盒攻击迁移攻击和通用对抗扰动的讲解及实战(附源码)
showswoller的博客
12-31 2236
黑盒攻击迁移攻击和通用对抗扰动的讲解及实战(附源码)
对抗样本:ICLR 2022 基于积分梯度的对抗攻击(可迁移黑盒攻击)Transferable Attack based on Integrated Gradients (TAIG)
算法探索之路
03-20 938
作者将三种方法分别是优化标准目标函数、注意力图和平滑决策面集成到论文方法 TAIG 中,作者研究了两种计算直线路径和随机分段线性路径上积分梯度的 TAIG。实验结果表明,论文中提出的方法生成了高迁移性的对抗样本,并且可以与以前的方法进行无缝协同工作,而且 TAIG 的性能优于现有的方法。:该论文提出的攻击算法,在实验中特别费时间,每一次迭代需要循环N次(N为batch_size的大小),因此需要消耗大量的时间去生成对抗样本。发现该算法在白盒以及黑盒上的攻击表现都稍微低于其他顶会的攻击算法。
应用转移的黑盒攻击(Transferability in Machine Learning: from Phenomena toBlack-Box Attacks using Adversarial)
a2333333_的博客
03-14 1510
本文介绍了一种黑盒攻击方法,详细介绍了作者提出的三亮点:水库采样,周期步长以及Jacobian-based数据增强
AdvFlow:一种基于标准化流的黑盒攻击新方法,产生更难被发觉的对抗样本 | NeurIPS‘20
极市平台的技术博客
12-08 1344
本文提出一种新的黑盒对抗攻击方法AdvFlow,通过利用标准化流来建模对抗样本的数据分布,使得生成的对抗样本的分布和正常样本接近,从而让对抗样本更难被检测出来,打破了对抗样本和正常样本的分布大不相同的固有认知。 论文地址:https://arxiv.org/abs/2007.07435 论文代码:https://github.com/hmdolatabadi/AdvFlow 本文为极市原创投稿,转载请获得授权。 引言 虽然神经网络在很多机器学习任务上都取得了非凡的表现,但是通过对输入样本添加微小的扰动
CVPR 2023 | 北大提出T-SEA: 自集成策略实现更强的黑盒攻击迁移
我爱计算机视觉
03-27 1516
关注公众号,发现CV技术之美本文分享 CVPR 2023 论文『T-SEA: Transfer-based Self-Ensemble Attack on Object Detection』,北大提出T-SEA: 自集成策略实现更强的黑盒攻击迁移性。具体信息如下:论文:https://arxiv.org/pdf/2211.09773.pdf代码:https://github.com/VDIGPKU...
迁移学习中的后门攻击
Yale的博客
09-07 1777
#前言 一般的后门攻击技术,其攻击场景具有非常明显的假设:攻击者能够控制模型的训练过程、训练集,在训练得到毒化模型后直接将其提供给用户,用户上手就用。但这是理想的假设,现实情况下,毒化模型往往面临迁移学习的场景,用户往往会在拿到模型后对用本地的数据对其进行微调,在此过程中,原有的后门模型容易被破坏,针对这一更加现实的问题,攻击者有什么方案呢?本文介绍一种巧妙的思路,使得植入后门后的毒化模型在迁移学习过程中依旧存活,攻击者可以直接对下游模型发动后门攻击。该技术来自信息安全big4之一ccs,2019,论文名为
white/black-box attack(黑盒白盒攻击基础)
山里娃的博客
03-29 7929
黑盒白盒攻击基础
黑盒攻击的分类_深入研究对抗样本黑盒攻击的可转移性
weixin_29443363的博客
01-13 1507
深入研究对抗样本黑盒攻击的可转移性本文内容来源于论文:Delving into Transferable Adversarial Examples and Black-box Attacks非目标攻击方法约束条件: $$ \begin{aligned} f_{\theta}\left(x^{\star}\right) & \neq y \ d\left(x, x^{\star}\righ...
Query-Efficient Black-box Adversarial Attacks Guided by a Transfer-based Prior-阅读札记
qq_43367558的博客
12-15 2037
Query-Efficient Black-box Adversarial Attacks Guided by a Transfer-based Prior 阅读笔记
黑盒攻击和白盒攻击
小姑仔的博客
07-25 3028
白盒攻击 假设我们图像的数组为x,模型已经正确分类到y_true,这时我们需要进行白盒攻击,微小地修改图像数组x使得模型将其分类到y1 给模型输入(x,y1)获取到模型在输入x上的梯度,这里的x便是图像的数组表示 依据梯度,在图像上进行调整,以达到减小误差,判断是否此时模型将其分类到y1 重复2、3步,直到模型将其分类到y1或者超出时间限制 使用的算法主要有两个思想:每次将梯度等比放大,至少最大值达到某个阈值(代码中为7);同时限定对图像调整的幅度noise在一定范围以内(代码中noise_limit为50
CloudLeak: Large-Scale Deep Learning Models一种黑盒攻击方法
weixin_40827685的博客
11-16 1748
background state of the art(已有的对比项) solution/contribution(系统还是算法贡献) evaluation conclusion/future work CloudLeak: Large-Scale Deep Learning Models CloudLeak:通过对抗性示例窃取的大规模深度学习模型 ...
黑盒迁移攻击综述
05-15
### 黑盒迁移攻击概述 黑盒迁移攻击是一种针对机器学习模型的攻击形式,在这种攻击中,攻击者无法获取目标模型的具体参数或架构信息。然而,通过利用源模型的知识迁移到目标模型上,攻击者可以成功生成有效的对抗样本[^3]。这类攻击的核心在于假设不同模型之间存在一定的相似性,尤其是在处理相同任务时。 #### 攻击原理 在黑盒迁移攻击中,攻击者首先在一个可访问的替代模型(即源模型)上生成对抗样例。这些对抗样例随后被用于测试目标模型的有效性。由于许多机器学习模型在相同的输入特征下表现出类似的决策边界,因此由源模型生成的对抗样例往往能够在目标模型上引发错误预测[^3]。 #### 实际应用场景 此类攻击尤其适用于现实世界的场景,因为大多数情况下,攻击者难以直接获取到目标模型的内部结构或权重信息。相反,他们仅能观察到模型对外部输入的响应行为。基于此特性,黑盒迁移攻击成为评估模型鲁棒性和安全性的重要工具之一。 #### 防御措施 为了抵御黑盒迁移攻击,研究人员提出了多种防御机制。其中包括但不限于: - **对抗训练**:通过向训练集中引入人工合成的对抗样例增强模型泛化能力。 - **梯度正则化**:平滑损失函数表面减少敏感区域的存在概率。 - **检测模块集成**:部署额外组件专门负责识别潜在恶意输入并采取相应行动。 下面展示一段简单的Python代码演示如何实施基本版的FGSM(快速梯度符号法)作为构建基础对抗实例的方法: ```python import torch from torchvision import models def fgsm_attack(image, epsilon, data_grad): sign_data_grad = data_grad.sign() perturbed_image = image + epsilon * sign_data_grad perturbed_image = torch.clamp(perturbed_image, 0, 1) return perturbed_image model = models.resnet18(pretrained=True).eval() # 使用预训练ResNet模型为例 epsilon = 0.01 # 扰动强度设定值 input_tensor = ... # 输入张量定义省略部分 target_label = ... # 设定标签同样简化表示 output = model(input_tensor) loss = criterion(output, target_label) data_grad = compute_gradient(loss, input_tensor) perturbed_input = fgsm_attack(input_tensor, epsilon, data_grad) ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值