基于询问的集成目标攻击算法.pdf
《基于询问的集成目标攻击算法.pdf》由会员分享,可在线阅读,更多相关《基于询问的集成目标攻击算法.pdf(3页珍藏版)》请在咨信网上搜索。
1、基于询问的集成目标攻击算法姬亚鹏1袁2渊员 广东工业大学自动化学院袁广东 广州 510006曰2 广东省物联网信息技术重点实验室袁广东 广州 510006冤Query-based Ensemble Target Attack Algorithm摘要院深度神经网络已经应用于解决各种各样的问题并且在各种视觉任务实现了惊人的性能遥 但是袁深度网络也很容易受到对抗攻击遥 攻击者在原始图像上加上细微人为设计的扰动袁就能使深度网络做出错误的分类结果遥 然而袁在不知道模型参数和结构的黑盒情况下袁现有的大多数对抗攻击方法只能在非目标攻击方面取得不错的效果袁在造成更加严重后果的目标攻击方面的成功率却很低遥 在目
2、标攻击中袁使用集成攻击并利用未知黑盒模型和已知白盒模型的输出衡量模型间的相似度袁根据相似度动态调整白盒模型在集成攻击中的权重袁提升黑盒攻击下目标攻击生成的对抗样本攻击效果遥关键词院深度神经网络曰黑盒攻击曰对抗样本曰目标攻击Abstract:Though deep neural networks have been applied in solving a wide variety of problems and achieved state-of-the-art performance on various vision tasks,they are vulnerable to adversa
3、rial examples which are crafted by addinghuman-imperceptible perturbations to legitimate inputs.However,under the black-box attack,where the attackers have noinformation about the model structure and parameters,most of the existing methods can only achieve good results in non-targeted attacks,but ha
4、ve a low success rate in more serious targeted attacks.In targeted attacks,ensemble approachesare used and the similarity between black-box and white-box models is measured using their outputs.Based on the simi鄄larity,the weights of the white-box model are dynamically adjusted to improve the adversa
5、rial examples attack effect gen鄄erated by the targeted attack under the black-box setting.Keywords:deep neural networks,black-box attack,adversarial examples,targeted attacks对抗样本的概念最早在 2014 年提出袁文献咱1原圆暂发现了神经网络的脆弱性袁 对于输入的原始样本加上微小的扰动就会使神经网络识别错误遥 这对神经网络在应用方面造成了一定的安全隐患遥现有的攻击方法从被攻击的模型信息是否可知袁可分为白盒攻击和黑盒攻击遥
6、白盒攻击指的是被攻击模型的内部参数和结构信息完全可知曰 黑盒攻击指的是对内部参数和结构信息完全不可知遥 从攻击目的又可分为目标攻击咱3暂和非目标攻击遥 非目标攻击目的是生成的对抗样本能使被攻击模型识别错误曰目标攻击不仅仅要使其识别错误袁 还要求被识别为一个特定的错误类别遥本文提出了基于询问的集成目标攻击方法袁使用多个模型袁攻击过程中动态调整每个白盒模型在集成过程中的权重袁 大幅提高黑盒情况下目标攻击的成功率遥1相关工作1.1 FGSM 快速符号梯度法FGSM咱2暂更新图像使模型对目标标签的损失函数值减小来提升攻击成功率遥 公式如下院曾adv=x+窑 泽蚤早灶渊荦曾允渊曾袁赠贼arget冤冤渊1
7、冤x 是原始样本袁xadv是生成的对抗样本袁 是每个像素点加上的扰动大小遥 sign(窑)是符号函数袁荦xJ渊x袁ytarget冤是损失函数对 x 的梯度袁ytarget是目标标签遥1.2 I-FGSM 迭代快速符号梯度法文献咱4暂提出的 I-FGSM方法是 FGSM 的迭代版本遥 公式为院x0=x曾avdt+1=xadvt-窑 泽蚤早灶渊荦曾允渊曾advt袁赠贼arget冤冤渊2冤式中袁t 是迭代的次数袁t=0 时为原始样本遥=/T 是每一次迭代加上的扰动大小袁T 是总的迭代次数遥1.3 MI-FGSM 动量迭代快速符号梯度法MI-FGSM 方法咱5暂在 I-FGSM 的基础上袁在优化过程中
8、加入动量咱6暂的方式袁公式如下院gt+1=窑 早贼垣荦曾允渊曾advt袁赠贼arget冤椰荦曾允渊曾advt袁赠贼arget冤椰1曾avdt+1=xadvt-窑 泽蚤早灶渊早贼垣员冤渊3冤式中 gt+1是上一步的下降方向和当前梯度方向的和袁gt的初始值 g0=0袁 为衰减因子遥1.4 NI-FGSM 涅斯捷罗夫迭代快速符号梯度法NI-FGSM 方法咱7暂考虑前向加速梯度咱8暂用于迭代攻击中袁防止陷入局部最优袁公式如下院曾灶est=xadvt原 窑窑 早贼早贼垣员越 窑 早贼垣荦曾允渊曾灶est袁赠贼arget冤椰荦曾允渊曾nest袁赠贼arget冤椰1xadvt+1=xadvt原 窑 泽蚤早灶
9、渊早贼垣员冤渊4冤式中 gt+1是超前梯度下降方向和当前梯度方向的和袁gt+1的初始值 g0=0袁 为衰减因子遥圆集成攻击方法用 lk渊x冤表示第 k 个模型的 logits 层输出袁则第 k 个模型的交叉熵损失函数为院允噪渊曾袁赠冤越原员赠窑 造燥早渊softmax渊憎噪造噪渊曾冤冤冤渊5冤其中 1y是标签 y 的独热表示遥 将集成方式分为三种袁分别为在softmax 的输入层上做集成 EI-softmax尧 在 softmax 的输出层上做集成 EI-log尧在损失上做集成 EI-loss袁分别对应式渊远冤尧式渊苑冤和式渊愿冤院基于询问的集成目标攻击算法130叶工业控制计算机曳圆园圆3 年
10、第 猿6 卷第 8 期允渊曾袁赠冤越原员赠窑 造燥早 softmaxKk=1移憎噪lk渊曾冤蓸蔀蓸蔀渊6冤允渊曾袁赠冤越原员赠窑 造燥早Kk=1移憎噪softmax lk渊曾冤蓸蔀蓸蔀渊7冤允渊曾袁赠冤越Kk=1移憎噪原员赠窑 造燥早 softmax lk渊曾冤蓸蔀蓸蔀蓸蔀渊8冤其中 wk表示每个模型的权重遥猿基于询问的集成攻击本文提出了基于询问的集成攻击方法遥具体地袁如果当前样本在黑盒模型的输出标签在白盒模型的前 n 个预测标签中袁那么此白盒模型和黑盒模型具备一定的相似性遥 为此我们提出三种方式给迭代过程中的每一个白盒模型分配权重院憎噪越员袁蚤f yt沂赠灶噪园袁otherwise嗓w=咱w
11、员袁w圆袁噎袁憎噪暂w越softmax渊w冤渊9冤憎噪越员袁蚤f yt沂赠灶噪园袁otherwise嗓w越咱员袁员袁噎袁员暂袁ifKk=1移wk=0咱w员袁w圆袁噎袁憎噪暂袁otherwise嗓渊10冤憎噪=n袁if yt沂赠1噪n-1袁if yt沂赠2噪n-2袁 if yt沂赠3噪噎灶原渊灶原员冤袁if yt沂赠n噪园袁燥贼澡erwise扇墒设设设设设设设设设设缮设设设设设设设设设设w=咱w员袁w圆袁噎袁憎噪暂w越softmax渊w冤渊11冤其中 赠贼表示黑盒模型的预测标签袁赠灶噪为第 噪 个白盒模型的前 灶个预测标签遥源实验结果与分析4.1 实验设置模型院ResNet-50咱9暂尧ResN
12、et-152咱10暂尧VGG-19咱11暂尧Densenet-121咱12暂尧Inception-v3咱13暂遥数据集院从 ImageNet 数据集咱14暂的验证集里面每个类别选择一张图像袁它们都能被五个模型正确分类遥扰动衡量标准院使用均方根误差渊RMSE冤衡量添加扰动的大小遥超参数院迭代步长统一取 2遥4.2 集成攻击实验本文使用 MI-FGSM 方法使用三种集成方式生成目标攻击对抗样本袁测试不同集成方式在目标攻击的效果遥衰减因子根据文献咱9暂的实验取 1遥 每个白盒模型权重 wk相等袁迭代次数为10 次遥实验结果如表 1袁其中袁野*冶表示黑盒攻击遥野-冶表示黑盒模型袁对抗样本通过其余四个白
13、盒模型生成遥根据表 1 可知使用 EI-loss 集成方式制作的目标攻击对抗样本的可转移性更强遥4.3 基于询问的集成攻击实验根据上一部分实验袁 使用 EI-loss 集成方式测试基于询问算法的性能遥使用 I-FGSM 方法测试基于询问的集成攻击效果遥式渊9冤尧式渊10冤尧式渊11冤中三种权重分配方式称为院EI-1尧EI-2尧EI-3袁并将 n 统一取 5袁即考虑白盒模型前五的预测标签遥 迭代次数设定为 40 次袁也就是询问次数为 40 次袁实验结果如表 2院表 2基于询问的集成攻击生成的目标攻击对抗样本在各个模型的成功率从表 2 中可知袁尽管使用简单的优化方法 I-FGSM袁扰动也比使用权重
14、均匀分配的集成攻击方法小袁 三种权重分配方式都取得很好的效果袁黑盒情况下目标攻击成功率最高达到 32.1%遥I-FGSM 方法需要过多的询问次数袁 为了进一步提升算法性能遥使用目前最优秀的加速梯度下降方法作为优化方法袁衰减因子取 0.5袁迭代次数为 18遥 实验结果如表 3院表 3基于询问的集成攻击生成的目标攻击对抗样本在各个模型的成功率由表 3 知袁NAG 算法使用更少的询问次数袁产生相同的扰动大小袁在每个黑盒模型上攻击成功率都有提升袁平均成功率达到21%袁最高成功率达到了 34.7%遥 生成的对抗样本如图 1 所示院图 1目标攻击对抗样本的可视化渊下转第 134 页冤表 1目标攻击对抗样本
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 询问 集成 目标 攻击 算法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。