[paper]Practical Black-Box Attacks against Machine Learning

最新推荐文章于 2024-08-21 09:57:35 发布
最新推荐文章于 2024-08-21 09:57:35 发布
阅读量575 收藏 1
点赞数 1
分类专栏: AEs 文章标签: 机器学习 深度学习 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43150428/article/details/106093296
版权
本文探讨了一种对抗样本的黑盒攻击策略,该策略在不获取目标模型内部信息的情况下,通过构建替代模型进行攻击。利用雅可比启发式算法收集目标模型的输入输出数据,训练出相似的替代模型,进而生成对抗样本,导致目标模型误分类。此外,文中还介绍了基于雅可比的数据增强技术以减少查询次数,以及FGSM和JSMA两种对抗样本生成算法的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文提出了对抗样本的黑盒攻击策略,也就是在没有分类训练数据或模型知识的情况下生成对抗样本。 即通过构建一个综合数据集(通过收集目标分类器的输入和输出),以训练目标模型的替代品(本地构建的相似的模型),实现对目标模型的攻击。

三个关键属性:
(a)所需的功能仅限于观察输出类标签
(b)查询的标签数量为有限
(c)除了最新的DNN,该方法也适用于不同的ML分类器类型

黑盒攻击策略:

  • 训练替代模型:攻击者通过基于雅可比启发式算法(Jacobian based heuristic)的合成输入来查询模型并获得模型输出。通过输入和输出构建本地替代模型的训练集,通过此训练集训练替代模型,使替代模型和目标模型结构和内部参数相似,最终的目的是使替代模型和目标模型具有相似的决策边界。
  • 生成对抗样本:攻击者使用本地替代模型生成对抗样本,并且由于对抗样本的迁移性,可以造成目标模型的错误分类。

相较于机器学习模型来说,深度学习模型应用更加单一,例如CNN处理图像,RNN处理文本等。在选定模型种类后,就是决定模型的内部参数或者架构,可以通过训练不同参数或架构的模型,将效果最好的模型作为替代模型。
由于不能无限次的查询目标模型(容易暴露自己的攻击意图且不容易处理),因此作者提出了基于雅可比的数据增强(Jacobian-based Dataset Augmentation),可以大大减少需要查询的次数并且模型也会学习到相似的决策边界。

本地替代模型的训练算法

最低0.47元/天 解锁文章
对抗样本之黑箱对抗:Practical Black-Box Attacks Against Machine Learning
yujianmin1990的专栏
04-15 5733
前言   看到篇paper,提供了一个极其厉害的生成对抗样本的黑箱攻击方式,之前的对抗攻击必须要知道受攻击模型的详细信息(包括模型结构参数,训练样本集等),但是本文所要分享的方法,是完全不需要知道这些信息的,只需要可以接触到受攻击模型的判别label即可完成对抗攻击。多么神奇而牛气哄哄的方法,让我们一块膜拜下这篇文章,看看为什么会有效。 攻击的限制 面对的问题:   在不知道受攻击模...
对抗样本方向(Adversarial Examples)2018-2020年最新论文调研
huitailangyz的博客
06-15 1万+
调研范围 2018NIPS、2019NIPS、2018ECCV、2019ICCV、2019CVPR、2020CVPR、2019ICML、2019ICLR、2020ICLR 2018NIPS Contamination Attacks and Mitigation in Multi-Party Machine Learning(防御) 作者:Jamie Hayes(Univeristy College London) Olga Ohrimenko(Microsoft Research) 摘要:Machine
Practical Black-Box Attacks against Machine Learning
MTandHJ的博客
03-04 859
文章目录概主要内容Jacobian-based Dataset AugmentationNote Papernot N, Mcdaniel P, Goodfellow I, et al. Practical Black-Box Attacks against Machine Learning[C]. computer and communications security, 2017: 506-...
Practical Black-Box Attacks against Machine Learning 论文阅读笔记
四个菜
03-28 2270
Paper: Practical Black-Box Attacks against Machine Learning Author: Nicolas Papernot et al. Publication: arXiv, 2017 文章目录1 背景2 创新3 方法3.1 第一步,获取替代检测器的训练集3.2 第二步, 选择合适的替代检测器模型结构3.3 第三步, 不断迭代训练替代检测器3.4...
【总结】Practical Black-Box Attacks against Machine Learning
qq_37903108的博客
07-11 2124
总策略: 用一个adversary和DNN生成的label创造了合成训练集,并用这些新样本训练一个local model来代替目标DNN,再利用生成的模型来创造对抗样本 主要用到了MetaMind的DNN网络来作为攻击对象 adversary采集一个很小的具有代表性的输入作为新网络的输入,选择一个网络结构作为替代,反复迭代训练,加入更具代表性的合成数据,目标是要尽可能接近原结果 对抗样本生...
【对抗攻击论文】黑盒开篇:Practical Black-Box Attacks against Machine Learning
ji_meng的博客
06-23 2292
作为黑盒攻击的开篇,本文是基于迁移的黑盒攻击。由于不知道目标模型的内部结构,所以采用一个合成的数据集来训练一个本地替代模型DNN,接着采用雅可比数据增强的方式利用数据在目标模型上的输出更新数据集,再进行模型训练,以建立一个近似于oracle模型O的决策边界的模型F。 Sρ+1={x⃗+λ⋅sgn(JF[O(x⃗)]):x⃗∈Sρ}∪SρS_{\rho+1}=\{ \vec{x}+\lambda \cdot sgn(J_F[O(\vec{x})]):\vec{x} \in S_{\rho} \} \cup S
Conceptual Challenges for Interpretable Machine Learning
weixin_42786150的博客
03-01 1569
Conceptual Challenges for Interpretable Machine Learning David S. Watson1 'Department of Statistical Science, University College London, London, UK Email for correspondence: david.watson@ucl.ac.uk §0 Abstract As machine learning has gradually entere..
【论文阅读】PRADA: Protecting Against DNN Model Stealing Attacks(2019)
最新发布
Glass_Gun的博客
08-21 1019
Alternative(备选) model stealing attacks(模型窃取攻击) assume(假设) access to large sets of natural samples(可以访问大量自然样本) and use active learning strategies(主动学习策略) to select the best samples(选择最佳的样本) to query [37].
人工智能安全(一)—攻击
weixin_44714808的博客
08-01 1161
开始写一写论文的总结,慢慢补 1.《BadNets Identifying Vulnerabilities in the Machine Learning Model Supply Chain》 概述:在一张图片上增加一个或者几个像素点来扰乱模型的准确性,导致在某些特定的训练集上精度异常低。 2.《Deep Neural Networks are Easily Fooled: High Confidence Predictions for Unrecognizable Images》 概述:利用遗传算法生
从安全视角对机器学习的部分思考
SIGAI_优快云的博客
01-11 2852
其它机器学习深度学习算法的全面系统讲解可以阅读《机器学习-原理、算法与应用》,清华大学出版社,雷明著,由SIGAI公众号作者倾力打造。 书的购买链接 书的勘误,优化,源代码资源 摘要 近几年,机器学习的大规模应用,以及算法的大幅度提升,吸引了学术界、工业界以及国防部门的大量关注。然而,对于机器学习算法本身的局限性,由于其快速的发展也不断的暴露了出来。因此,不论是人工智能领域的学者,还...
机器学习的攻防安全文献整理
四个菜
03-30 680
本文按照时间顺序整理了机器学习的攻防对抗近些年来的文献,希望能和对该领域感兴趣的研究人员做一个分享。 有些文献我只是大概地浏览了一下,如下文有错误,请为我指出来,感激不尽! 感兴趣的朋友可以在评论里交流(勿喷),或者可以认识一下(留下联系方式)。
wide & Deep 和 Deep & Cross 及tensorflow实现
热门推荐
yujianmin1990的专栏
01-14 2万+
优快云简直就是最烂的编辑器了,艹,两遍了,这篇文章被莫名覆盖掉!!! 前言   最近读了下Google的两篇文章《Wide&Deep Learning》和《Deep&Cross Network》,趁着热乎比较下,顺道写个demo,免得后面用的时候瞎搞。   前者是用来给用户推荐潜在喜欢的APP;后者是用来预测用户可能点击的广告排序。基于用户基本信息和行为日志来做个性化的推荐,是商业化的重要一步,
“GANs 之父”Goodfellow亲身传授:深度学习未来的8大方向和入门AI必备的三大技能...
weixin_33714884的博客
07-19 471
近日,被称为“GANs 之父”的 Ian Goodfellow 在 Quora 上回答网友提问。在问答环节中,Goodfellow 不仅介绍了谷歌大脑(Google Brian)目前正在进行的工作,还详细阐述了 GANs 目前碰到的各种问题,以及未来的发展方向。作为《Deep Learning》的作者之一,Goodfellow 也对深度学习的未来发表了自己的见解。此外,作为“机器学习大师” Yos...
GAN相关引用/被引用的文章
还没想好
03-05 1274
原论文:Generating Adversarial Malware Examples for Black-Box Attacks Based on GAN 引用论文: 2001 Data Mining Methods for Detection of New Malicious Executables 在本文中,我们提出了一个数据挖掘框架,可以准确自动地检测新的,以前未见过的恶意可执...
AdvFlow:一种基于标准化流的黑盒攻击新方法,产生更难被发觉的对抗样本 | NeurIPS‘20
极市平台的技术博客
12-08 1257
本文提出一种新的黑盒对抗攻击方法AdvFlow,通过利用标准化流来建模对抗样本的数据分布,使得生成的对抗样本的分布和正常样本接近,从而让对抗样本更难被检测出来,打破了对抗样本和正常样本的分布大不相同的固有认知。 论文地址:https://arxiv.org/abs/2007.07435 论文代码:https://github.com/hmdolatabadi/AdvFlow 本文为极市原创投稿,转载请获得授权。 引言 虽然神经网络在很多机器学习任务上都取得了非凡的表现,但是通过对输入样本添加微小的扰动
忽视警告_忽视针对神经网络的网络攻击
weixin_26722031的博客
08-31 2595
忽视警告Artificial neural networks can be thought of as computed biological neural networks. Is it possible to perceive an object as something it is not? If our perception of the outside world is an inter...
对抗样本(论文解读十三):机器学习模型可解释性方法、应用与安全研究综述
Enjoy_endless
05-11 4624
机器学习模型可解释性方法、应用与安全研究综述 纪守领1 李进锋1 杜天宇1 李 博2 1(浙江大学计算机科学与技术学院网络空间安全研究中心 杭州 310027) 2(伊利诺伊大学香槟分校计算机科学学院 美国伊利诸伊州厄巴纳香槟 61822) 这是一篇中文核心期刊文章,收稿于2019-06-11,发表于计算机研究与发展。 这一篇文章总结的主要是模型的可解释性相关知识,但是同样涉及到了对抗样本相关的研究,所以对于对抗样本的相关攻防,同样具有比较大的参考价值。 文章介绍:在本文中,我们首先详细地阐述可解释性
1.Adversarial Examples in Malware Detection
sxyinn的博客
04-26 403
Outline malware detector based on deep learning domain challengers for evasion append attack slack attack 1.Malware detector based on deep learning Feature extraction in static malware classificatio...
Adversarial Sample misleading the Model(生成对抗样本迷惑模型)
selous的专栏
12-15 3609
Introductionadversarial examples—inputs formed by applying small but intentionally worst-case perturbations to examples from the dataset , such that the perturbed input results in the model outputting
【论文阅读】CVPR2022 ||Towards Efficient Data Free Black-box Adversarial Attack
qq_45822394的博客
04-19 709
经典的黑盒对抗攻击可以利用类似替代模型生成的可转移对抗样本来成功欺骗目标模型。然而,这些替代模型需要通过目标模型的训练数据进行训练,由于隐私或传输原因,很难获得。认识到对抗性查询的真实数据的可用性有限,最近的工作提出在无数据黑盒场景中训练替代模型。然而,他们基于生成对抗网络(GAN)的框架存在收敛失败和模型崩溃的问题,导致效率低下。在本文中,通过重新思考生成器和替代模型之间的协作关系,我们设计了一种新颖的黑盒攻击框架。所提出的方法可以通过少量的查询有效地模仿目标模型,并获得较高的攻击成功率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值