一种面向图像识别的神经网络通用扰动生成算法 被引量：4

1

作者 李祥坤 杨争峰 +1 位作者 曾霞 刘志明 《系统科学与数学》 CSCD 北大核心 2019年第12期1944-1963,共20页

近年来,基于深度神经网络的图像识别技术表现出良好的性能,然而研究表明神经网络容易受到对抗扰动攻击而发生分类错误,施加一个小的通用扰动就能使神经网络在整个数据集上失效.为构建更加健壮的神经网络,对通用扰动生成的研究显得至关重... 近年来,基于深度神经网络的图像识别技术表现出良好的性能,然而研究表明神经网络容易受到对抗扰动攻击而发生分类错误,施加一个小的通用扰动就能使神经网络在整个数据集上失效.为构建更加健壮的神经网络,对通用扰动生成的研究显得至关重要.通用扰动生成问题要求得到一个扰动向量对整个数据集产生指定扰动率的攻击效果,相较于单张图片扰动生成问题其约束条件更严格,计算难度更大.目前已有算法得到的通用扰动范数较大,容易被人眼识别.文章基于优化理论提出新的通用扰动生成算法,在达到指定扰动率的同时能产生更小的通用扰动.算法结合PCA降维思想克服了问题的规模性带来的困难;然后利用单张对抗扰动向量的均值叠加随机噪声,得到满足扰动率的初始通用扰动;最后改进梯度下降方法在保证扰动率的同时得到更小的通用扰动.实验表明,该方法可有效攻击各类先进神经网络:在达到相同扰动率的情况下,所得通用扰动的范数较Uni.Perturbation算法的结果平均降低了54%. 展开更多

关键词 通用扰动 深度神经网络 对抗扰动 图像识别

原文传递

基于差分进化的神经网络通用扰动生成方法

2

作者 高乾顺 范纯龙 +1 位作者 李炎达 滕一平 《计算机应用》 CSCD 北大核心 2023年第11期3436-3442,共7页

针对超球面通用攻击(HGAA)算法中通用扰动搜索始终限定在空间球面上,不具有球内空间搜索能力的问题,提出一种基于超球面的差分进化算法。该算法将搜索空间扩大到球面内部,并通过差分进化(DE)算法搜索最优球面,从而生成愚弄率更高、模长... 针对超球面通用攻击(HGAA)算法中通用扰动搜索始终限定在空间球面上,不具有球内空间搜索能力的问题,提出一种基于超球面的差分进化算法。该算法将搜索空间扩大到球面内部,并通过差分进化(DE)算法搜索最优球面,从而生成愚弄率更高、模长更低的通用扰动。此外,分析了种群数量等关键参数对该算法的影响,并且测试了该算法生成的通用扰动在不同神经网络模型上的性能。在CIFAR10和SVHN图像分类数据集上进行验证,该算法与HGAA算法相比愚弄率最多提高了11.8个百分点。实验结果表明,该算法扩展了HGAA算法的通用扰动搜索空间,降低了通用扰动的模长,提高了通用扰动的愚弄率。 展开更多

关键词 对抗攻击 通用扰动 神经网络 超球面攻击 差分进化算法

下载PDF 职称材料

基于替代模型的批量零阶梯度符号算法

3

作者 李炎达 范纯龙 +1 位作者 滕一平 于铠博 《计算机科学》 CSCD 北大核心 2023年第S02期851-856,共6页

在面向神经网络的对抗攻击领域中,针对黑盒模型进行的通用攻击,如何生成导致多数样本输出错误的通用扰动是亟待解决的问题。然而,现有黑盒通用扰动生成算法的攻击效果不佳,且生成的扰动易被肉眼察觉。针对该问题,以典型卷积神经网络为... 在面向神经网络的对抗攻击领域中,针对黑盒模型进行的通用攻击,如何生成导致多数样本输出错误的通用扰动是亟待解决的问题。然而,现有黑盒通用扰动生成算法的攻击效果不佳,且生成的扰动易被肉眼察觉。针对该问题,以典型卷积神经网络为研究对象,提出基于替代模型的批量零阶梯度符号算法。该算法通过对替代模型集合进行白盒攻击来初始化通用扰动,并在黑盒条件下查询目标模型,实现对通用扰动的稳定高效更新。在CIFAR-10和SVHN两个数据集上的实验结果表明,与基线算法对比,该算法攻击能力显著提升,其生成通用扰动的性能提高了近3倍。 展开更多

关键词 卷积神经网络 通用扰动 对抗攻击 黑盒攻击 替代模型

下载PDF 职称材料

基于随机梯度上升和球面投影的通用对抗攻击方法 被引量：2

4

作者 范纯龙 李彦达 +1 位作者 夏秀峰 乔建忠 《东北大学学报（自然科学版）》 EI CAS CSCD 北大核心 2022年第2期168-175,共8页

在面向样本集的通用对抗攻击中,导致多数样本输出错误的通用扰动设计是研究关键.本文以典型卷积神经网络为研究对象,对现有通用扰动生成算法进行总结,提出采用批量随机梯度上升训练策略和球面投影搜索策略相结合的通用扰动生成算法.算... 在面向样本集的通用对抗攻击中,导致多数样本输出错误的通用扰动设计是研究关键.本文以典型卷积神经网络为研究对象,对现有通用扰动生成算法进行总结,提出采用批量随机梯度上升训练策略和球面投影搜索策略相结合的通用扰动生成算法.算法的每次迭代计算,首先从样本集中抽取小批量样本,采用随机梯度上升策略计算出使损失函数值下降的通用对抗扰动,然后将通用扰动投影到半径为ε的高维球面上,从而缩小通用扰动的搜索空间.算法还引入了正则化技术以改善通用扰动的生成质量.实验结果证明该算法与基线算法对比,攻击成功率显著提升,通用扰动的求解效率提高约30倍. 展开更多

关键词 卷积神经网络 通用扰动 球面投影 梯度上升 对抗攻击

下载PDF 职称材料

一种融合对抗层的图像通用对抗扰动生成算法

5

作者 徐登辉 张勇 +1 位作者 巩敦卫 孙晓燕 《小型微型计算机系统》 CSCD 北大核心 2022年第8期1687-1696,共10页

随着深度神经网络的广泛应用,其安全性问题日益突出.研究图像对抗样本生成可以提升神经网络的安全性.针对现有通用对抗扰动算法攻击成功率不高的不足,提出一种在深度神经网络中融合对抗层的图像通用对抗扰动生成算法.首先,在神经网络中... 随着深度神经网络的广泛应用,其安全性问题日益突出.研究图像对抗样本生成可以提升神经网络的安全性.针对现有通用对抗扰动算法攻击成功率不高的不足,提出一种在深度神经网络中融合对抗层的图像通用对抗扰动生成算法.首先,在神经网络中引入对抗层的概念,提出一种基于对抗层的图像对抗样本产生框架;随后,将多种典型的基于梯度的对抗攻击算法融入到对抗层框架,理论分析了所提框架的可行性和可扩展性;最后,在所提框架下,给出了一种基于RMSprop的通用对抗扰动产生算法.在多个图像数据集上训练了5种不同结构的深度神经网络分类模型,并将所提对抗层算法和4种典型的通用对抗扰动算法分别用于攻击这些分类模型,比较它们的愚弄率.对比实验表明,所提通用对抗扰动生成算法具有兼顾攻击成功率和攻击效率的优点,只需要1%的样本数据就可以获得较高的攻击成率. 展开更多

关键词 图像分类 对抗样本 通用扰动 对抗层 RMSprop

下载PDF 职称材料

基于对抗样本防御的人脸安全识别方法

6

作者 黄横 韩青 李晓东 《北京电子科技学院学报》 2019年第4期26-32,共7页

本文使用一个像素攻击法和通用扰动生成攻击法生成对抗数据集,通过人脸识别模型对对抗数据集进行微调训练,使其对一个像素攻击法生成的对抗样本具有较高的正确识别能力和对通用扰动生成的对抗样本的具有完全正确的识别能力,实现人脸安... 本文使用一个像素攻击法和通用扰动生成攻击法生成对抗数据集,通过人脸识别模型对对抗数据集进行微调训练,使其对一个像素攻击法生成的对抗样本具有较高的正确识别能力和对通用扰动生成的对抗样本的具有完全正确的识别能力,实现人脸安全识别。 展开更多

关键词 对抗样本防御 人脸安全识别 一个像素攻击法 通用扰动 微调

下载PDF 职称材料

基于快速特征欺骗的通用扰动生成改进方法

7

作者 韦健杰 吕东辉 +1 位作者 陆小锋 孙广玲 《应用科学学报》 CAS CSCD 北大核心 2020年第6期986-994,共9页

近年来,基于深度神经网络的应用日益广泛,然而深度神经网络容易受到由输入数据设计的微小扰动而带来的对抗性攻击,导致网络的错误输出,给智能系统的部署带来安全隐患.为了提高智能系统的抗风险能力,有必要对存在风险的扰动生成方法展开... 近年来,基于深度神经网络的应用日益广泛,然而深度神经网络容易受到由输入数据设计的微小扰动而带来的对抗性攻击,导致网络的错误输出,给智能系统的部署带来安全隐患.为了提高智能系统的抗风险能力,有必要对存在风险的扰动生成方法展开研究.快速特征欺骗(fast feature fool,FFF)是面向视觉任务的一种有效的通用扰动生成方法.考虑了输入图像在网络中的实际激活状态,以最大化原始图像和对抗样本之间的特征差异作为生成扰动的目标函数;同时考虑不同卷积层对于生成扰动的不同影响,在生成扰动的目标函数中,对不同卷积层对应的项加以不同权重.实验结果表明,改进的FFF方法攻击成功率更高,同时也具备更强的跨模型攻击能力. 展开更多

关键词 深度神经网络 通用扰动 快速特征欺骗 特征差异

下载PDF 职称材料

基于多视图网络三维形状检索的通用扰动攻击 被引量：1

8

作者 唐静 彭伟龙 +1 位作者 唐可可 方美娥 《图学学报》 CSCD 北大核心 2022年第1期93-100,共8页

几何深度学习模型在三维形状检索任务中已应用,其安全评估工作也引起了研究者们的关注。该文针对三维形状检索评估提出一种基于多视图通用扰动攻击(MvUPA)的对抗攻击方法,其具有高成功率的攻击效果。首先设计多视角深度全景图检索模型,... 几何深度学习模型在三维形状检索任务中已应用,其安全评估工作也引起了研究者们的关注。该文针对三维形状检索评估提出一种基于多视图通用扰动攻击(MvUPA)的对抗攻击方法,其具有高成功率的攻击效果。首先设计多视角深度全景图检索模型,训练适用于视图类三维形状检索的高效嵌入向量;其次,为三维形状检索提出有益于通用扰动更新的损失函数方案和攻击机制。该损失函数方案同时融合了三元损失和标签损失,提升了对相近拓扑异类样本和差异拓扑同类样本的对抗扰动生成。通过实验验证了MvUPA在多个视图类检索模型上攻击的有效性和稳定性,攻击指标下降率(DR)最高达94.52%;融合损失函数相比单个损失函数DR指标提高约3.0%~5.5%。 展开更多

关键词 三维形状检索 多视图通用扰动攻击 通用扰动攻击 几何深度学习 融合损失

下载PDF 职称材料

基于通用逆扰动的对抗攻击防御方法 被引量：2

9

作者 陈晋音 吴长安 +2 位作者 郑海斌 王巍 温浩 《自动化学报》 EI CAS CSCD 北大核心 2023年第10期2172-2187,共16页

现有研究表明深度学习模型容易受到精心设计的对抗样本攻击,从而导致模型给出错误的推理结果,引发潜在的安全威胁.已有较多有效的防御方法,其中大多数针对特定攻击方法具有较好防御效果,但由于实际应用中无法预知攻击者可能采用的攻击策... 现有研究表明深度学习模型容易受到精心设计的对抗样本攻击,从而导致模型给出错误的推理结果,引发潜在的安全威胁.已有较多有效的防御方法,其中大多数针对特定攻击方法具有较好防御效果,但由于实际应用中无法预知攻击者可能采用的攻击策略,因此提出不依赖攻击方法的通用防御方法是一个挑战.为此,提出一种基于通用逆扰动(Universal inverse perturbation,UIP)的对抗样本防御方法,通过学习原始数据集中的类相关主要特征,生成通用逆扰动,且UIP对数据样本和攻击方法都具有通用性,即一个UIP可以实现对不同攻击方法作用于整个数据集得到的所有对抗样本进行防御.此外,UIP通过强化良性样本的类相关重要特征实现对良性样本精度的无影响,且生成UIP无需对抗样本的先验知识.通过大量实验验证,表明UIP在不同数据集、不同模型中对各类攻击方法都具备显著的防御效果,且提升了模型对正常样本的分类性能. 展开更多

关键词 深度学习 通用逆扰动 对抗样本 通用防御

下载PDF 职称材料

文本对抗验证码的研究

10

作者 李剑明 闫巧 《计算机工程与应用》 CSCD 北大核心 2023年第21期278-286,共9页

图像识别等深度学习技术的发展使得传统的文本验证码安全性下降,利用对抗样本这一深度神经网络存在的缺陷来增强文本验证码的安全性具有重要研究意义。通过将多种对抗样本生成算法应用到文本验证码上,生成文本对抗验证码,并从耗时、扰... 图像识别等深度学习技术的发展使得传统的文本验证码安全性下降,利用对抗样本这一深度神经网络存在的缺陷来增强文本验证码的安全性具有重要研究意义。通过将多种对抗样本生成算法应用到文本验证码上,生成文本对抗验证码,并从耗时、扰动大小、黑白盒识别率等多个方面衡量生成的对抗验证码的实际效果。基于验证码生成频率较高的应用场景特点,筛选出将通用对抗扰动应用到文本验证码上的方案;在应用快速通用对抗扰动(Fast-UAP)算法时,为了克服Fast-UAP的不稳定性,提出了I-FUAP(initialized-FUAP)算法,通过利用通用对抗扰动来进行初始化,实验表明,在不显著影响扰动成功率和对抗样本攻击效果的前提下,改进后的算法相比于原来的Fast-UAP能更快地生成通用对抗扰动,生成耗时减少约30.22%。 展开更多

关键词 深度学习 验证码 对抗攻击 通用对抗扰动

下载PDF 职称材料

利用主成分分析的通信调制识别通用对抗攻击方法

11

作者 柯达 黄知涛 +1 位作者 邓寿云 卢超奇 《国防科技大学学报》 EI CAS CSCD 北大核心 2023年第5期30-37,共8页

深度学习容易被对抗样本所攻击。以通信调制识别为例,在待传输的通信信号中加入对抗性扰动,可以有效防止非合作的用户利用深度学习方法识别信号的调制方式,进而提升通信安全。针对现有对抗样本生成技术难以满足自适应和实时性的问题,通... 深度学习容易被对抗样本所攻击。以通信调制识别为例,在待传输的通信信号中加入对抗性扰动,可以有效防止非合作的用户利用深度学习方法识别信号的调制方式,进而提升通信安全。针对现有对抗样本生成技术难以满足自适应和实时性的问题,通过对数据集中抽取的小部分数据产生的对抗扰动进行主成分分析,得到适用于整个数据集的通用对抗扰动。通用对抗扰动的计算可以在离线条件下进行,然后实时添加到待发射的信号中,可以满足通信的实时性要求,实现降低非合作方调制识别准确率的目的。实验结果表明该方法相对基线方法具有更优的欺骗性能。 展开更多

关键词 对抗样本 通用对抗扰动 通信调制识别

下载PDF 职称材料

基于通用对抗扰动的图像验证码保护方法 被引量：3

12

作者 舒乐 戴佳筑 《计算机工程与应用》 CSCD 北大核心 2021年第18期135-141,共7页

卷积神经网络的发展使得图像验证码已经不再安全。基于卷积神经网络中存在的通用对抗扰动,提出了一种图像验证码的保护方法。提出了一种快速生成通用对抗扰动的算法,将方向相似的对抗扰动向量进行叠加以加快生成通用对抗扰动的速度。基... 卷积神经网络的发展使得图像验证码已经不再安全。基于卷积神经网络中存在的通用对抗扰动,提出了一种图像验证码的保护方法。提出了一种快速生成通用对抗扰动的算法,将方向相似的对抗扰动向量进行叠加以加快生成通用对抗扰动的速度。基于此算法设计了图像验证码的保护方案,将通用对抗扰动加入到验证码的图像中使其无法被卷积神经网络模型识别。在ImageNet数据集上进行的仿真实验结果表明,该方案比现有工作Deep-CAPTCHA具有更低的破解率,能有效保护图像验证码不被主流的卷积神经网络模型破解。 展开更多

关键词 深度学习 对抗样本 通用对抗扰动 图像验证码 卷积神经网络 图像分类

下载PDF 职称材料

基于生成式对抗网络的通用性对抗扰动生成方法 被引量：3

13

作者 刘恒 吴德鑫 徐剑 《信息网络安全》 CSCD 北大核心 2020年第5期57-64,共8页

深度神经网络在图像分类应用中具有很高的准确率,然而,当在原始图像中添加微小的对抗扰动后,深度神经网络的分类准确率会显著下降。研究表明,对于一个分类器和数据集存在一种通用性对抗扰动,其可对大部分原始图像产生攻击效果。文章设... 深度神经网络在图像分类应用中具有很高的准确率,然而,当在原始图像中添加微小的对抗扰动后,深度神经网络的分类准确率会显著下降。研究表明,对于一个分类器和数据集存在一种通用性对抗扰动,其可对大部分原始图像产生攻击效果。文章设计了一种通过生成式对抗网络来制作通用性对抗扰动的方法。通过生成式对抗网络的训练,生成器可制作出通用性对抗扰动,将该扰动添加到原始图像中制作对抗样本,从而达到攻击的目的。文章在CIFAR-10数据集上进行了无目标攻击、目标攻击和迁移性攻击实验。实验表明,生成式对抗网络生成的通用性对抗扰动可在较低范数约束下达到89%的攻击成功率,且利用训练后的生成器可在短时间内制作出大量的对抗样本,利于深度神经网络的鲁棒性研究。 展开更多

关键词 深度神经网络 通用性对抗扰动 生成式对抗网络

下载PDF 职称材料

基于通用性对抗扰动的图像验证码系统研究

14

作者 栗维勋 马斌 +3 位作者 马骁 郭静 刘恒 徐剑 《中国电子科学研究院学报》 北大核心 2021年第10期1020-1028,共9页

验证码(Completely Automated Public Turing test to tell Computers and Humans Apart,CAPTCHA)是一种反图灵测试,许多网站用此来鉴别机器与人工访问,以防止自动机器对网站的访问。然而,由于深度神经网络可以被恶意攻击者利用,对图像... 验证码(Completely Automated Public Turing test to tell Computers and Humans Apart,CAPTCHA)是一种反图灵测试,许多网站用此来鉴别机器与人工访问,以防止自动机器对网站的访问。然而,由于深度神经网络可以被恶意攻击者利用,对图像验证码的安全性造成了很大威胁。深度神经网络在对抗扰动上的脆弱性,反而在图像验证码的安全性上有积极作用,因此使用对抗扰动制作的对抗样本图像作为验证码系统的候选图像集可以提高验证码系统的安全性。然而,已有图像验证码系统存在含有扰动的验证码图像制作缓慢和系统不易拓展的问题。利用基于残差网络的通用性对抗扰动生成方法(Universal Adversarial Perturbation with ResNet,UAP-RN)可以快速制作对抗样本的特点,设计基于UAP-RN制作对抗验证码候选图像集的方法,并构建了基于微服务架构的图像验证码系统。基于ImageNet数据集对系统进行了功能与安全性测试。实验表明,文中所设计的图像验证码系统在对抗验证码图像制作方面可达到单张0.04 s的速度,同时在相对扰动为0.05的情况下针对监督学习方式攻击的防御率为96.3%。 展开更多

关键词 图像验证码系统 深度神经网络 通用性对抗扰动 微服务

下载PDF 职称材料