【摘 要】
:
对抗样本是一种能够欺骗神经网络模型做出错误判断的恶意样本,对抗样本的存在可能对基于机器学习与深度学习的应用造成安全隐患。因此,研究对抗样本的生成及对抗攻击,对检验与提高神经网络分类模型的鲁棒性,有着重要的现实意义。黑盒对抗攻击在未获悉模型内部结构的情况下,通过构建目标模型的代理模型或者向目标模型进行查询,来指导对抗攻击。与白盒对抗攻击相比,黑盒对抗攻击更符合现实的应用场景。然而,黑盒对抗攻击方法仍
论文部分内容阅读
对抗样本是一种能够欺骗神经网络模型做出错误判断的恶意样本,对抗样本的存在可能对基于机器学习与深度学习的应用造成安全隐患。因此,研究对抗样本的生成及对抗攻击,对检验与提高神经网络分类模型的鲁棒性,有着重要的现实意义。黑盒对抗攻击在未获悉模型内部结构的情况下,通过构建目标模型的代理模型或者向目标模型进行查询,来指导对抗攻击。与白盒对抗攻击相比,黑盒对抗攻击更符合现实的应用场景。然而,黑盒对抗攻击方法仍然存在着模型查询次数较高的问题。为此,本文提出了两种降低模型查询量的黑盒对抗攻击方法——BOBA(Bayesian Optimization Black-box Attack)与WTDS(Black-box Attack based on Wavelet Transformation and Dynamic Sampling)。BOBA使用贝叶斯优化选择样本中最有效的维度进行扰动,能有效减少模型查询量,仅扰动样本中的少数维度即可生成有效的对抗样本。论文首先给出了BOBA方法的算法框架,然后详述了其中的关键步骤。(1)构造了一个黑盒目标函数,将扰动位置与扰动值转化为正确分类的确定性;(2)通过几次迭代生成有效的对抗样本,在每次迭代中通过贝叶斯优化生成一个有效扰动位置与扰动值;(3)贝叶斯优化的具体方法是:先使用少量采样数据构造黑盒目标函数的代理模型,然后基于代理模型使用采样函数不断地选择最有潜力的采样位置并获取其采样值,用于更新代理模型。WTDS通过梯度估计方法与梯度下降方法相结合,迭代地在清晰样本中添加扰动,最终生成能够误导模型的对抗样本。WTDS使用离散小波变换分离样本的高频分量与低频分量,仅在低频分量中添加扰动,并且在估计低频分量梯度的过程中,动态地调整采样点数,降低生成对抗样本所需要的模型查询次数。论文给出了WTDS的算法框架,并阐述了关键步骤。(1)使用离散小波变换分离被攻击样本的低频分量与高频分量;(2)迭代地使用自然进化策略估计低频分量的梯度;(3)在自然进化策略中,采用了动态采样策略增强随机性,并使用当前的估计梯度与历史估计梯度共同指导低频分量的更新,直到生成有效的对抗样本。最后,论文在CIFAR-10数据集和ILSVRC-2012数据集上分别测试了两种方法,并与其他共计5种黑盒攻击方法做了实验对比。结果证明:BOBA在仅改变图像样本的三个像素的情况下达到90%的攻击成功率,且模型查询量降低了88%~93%;WTDS能够达到100%的攻击成功率,而且相比其他黑盒攻击方法,在目标攻击和无目标攻击中,模型查询量大大降低,降幅达23%~84%。
其他文献
随着现代性的继续推进,人类的社会实践再一次发生了变革,基于实践本体的档案学及其理论体系也必然需要进行适应性的调整与变革。笔者从社会学中现代性的理论与视角入手,从社会转型与变迁的角度来重新认识、理解我国档案学的发展,以把握我国档案学演进的内在规律和逻辑。笔者分为三部分对现代性转型背景下档案学理论体系的演进进行研究。首先介绍现代性理论的相关概念并阐释现代性与档案学理论体系演进之间的联系,增强本文研究的
经济社会的高速发展伴随着自然能源的急速衰竭和环境日益恶化,亟待发展高效绿色替代能源,使经济社会得以可持续发展。电化学能源储存和转化是解决上述问题的一种重要方式。设计和发展高效的电催化剂,提高能量转换效率是电化学能源储存和转化领域的研究热点。在电催化反应中,固体(电极)/液体(电解质溶液)/气体(固/液/气)三相界面是发生反应的重要场所,在特定催化剂情况下,通过合理设计界面性质是调控电催化反应的重要
近年来,国内外卫星互联网高速发展,对我国的互联网有害信息监管带来新的挑战。分析这些挑战并尽早考虑应对措施,对有效监管卫星互联网至关重要。对卫星互联网接入设备所传输的敏感信息进行筛查是一种直接、灵活且针对性高的监管手段,对卫星互联网的监管具有重要意义。主要研究内容如下:1.调研了国内外各类卫星互联网,介绍了卫星互联网的发展概况,分析了卫星互联网的发展会导致的风险,并指出应对风险的重要性和急迫性,重点
随着我国经济的迅速发展,公路建设也迎来了一个新的发展高潮,公路勘察设计市场竞争也日益激烈。大多数的勘察设计企业需要面对繁重设计任务,勘察设计员工的压力也越来越大。
随着光子学研究内容的不断延伸以及信息通信技术的不断发展,光子玻璃逐渐成为一种重要的工程应用材料,在光通信、光转换及光传输等领域具有重要应用价值。光子玻璃一般由掺杂离子和基质玻璃组成,通过改变光子玻璃基质的组成以及掺杂离子的种类、浓度等可以实现光子玻璃性质的有效调节,以此满足不同应用场合的要求。据此,本文做了以下工作:1.针对日盲紫外光下转换探测应用,在传统钠钙玻璃的基础上引入氟化钙和氟化钠,制备了
随着半导体工艺技术的不断发展,传统铜互连技术中的传输延迟过大等问题已经成为集成芯片设计中的主要性能限制。碳纳米材料由于其电子平均自由程大、热导率高等特性在互连线
在现代战争中电子对抗技术已经成为决定战争走向的关键因素。箔条作为历史悠久的无源干扰物,因为其廉价,便捷,高效的优点,被广泛应用在反导、防空等领域。对箔条云团的运动特性和散射特性进行分析研究,能为有效评估箔条云团无源干扰效能提供依据,因此在争夺电磁权的现代战争中具有十分重要的意义。本文首先详细研究了线矩量法的基本原理和求解过程,推导其相关公式,得到了线矩量法计算箔条云散射场的表达式。随后分别用线矩量
经过长达数万年的自然选择与生物进化,自然界中如鸟类或昆虫等大部分都是选择扑翼飞行方式。这种扑翼飞行与发展较为成熟的固定翼和旋翼在有些方面有所不同。飞行机理方面,扑翼飞行是由机翼的扑动而产生飞行所需的升力和前进的推力,这使得它具有气动力好、飞行效率高、机动灵活等优势;空气动力学方面,扑翼飞行机构机翼附近的流场随着机翼的运动而迅速变化。扑翼机由于其特有的优势,使得其在很多方面都有很大的发展前景,因此对
随着社会的发展需求,教育教学的工作越来越得到重视。但是当前教育存在着很多的问题,这些问题严重影响了教育教学成果。为了培育更多的优秀人才,学校必须因时而动地进行教育改革以形成良好的教育氛围。在这种教育环境的影响下,学校进行教学模式的改革是必然的结果。因此“问学”教学模式应运而生。伊春市第一中学从学校发展、学生培养、语文教学和语文课程的角度出发,提出了“问学”教学模式。“问学”教学模式在实施的过程中遵
数量性状的遗传基础极其复杂。早前提出的多基因假说认为数量性状是由许多彼此独立的基因作用的结果,每个基因对性状作用较小,称为微效基因。在实践中,通过构建遗传分离群体,