下载文档原格式
基于改进积分梯度的黑盒迁移攻击算法王正来;关胜晓【期刊名称】《计算机工程与应用》【年(卷),期】2024(60)9【摘要】对抗样本可以轻易攻击深度神经网络,影响模型的使用安全。
虽然白盒攻击方法有优秀的成功率,但是在黑盒迁移攻击时通常表现出较差的效果。
目前最先进的TAIG算法基于积分梯度,可以提升对抗样本的迁移性。
但研究发现其积分路径缺失到饱和区的有效信息,并且使用不恰当的基线和梯度计算,限制了算法攻击成功率的上限。
改进了积分梯度并提出了IIGA攻击算法(improved integrated gradients attack)。
改进积分梯度将有限路径扩展为无限路径,融合输入到真实饱和区的梯度累计,可以表征每个分量更准确的重要性;并提出信息熵基线,确保基线相对于模型不含任何信息。
IIGA将生成的改进积分梯度进行平滑处理作为攻击的反向优化方向,平滑操作过滤因神经网络在小范围偏导剧烈跳动而产生的大量噪点,使梯度信息集中于视觉特征,并在迭代过程中加入动量信息稳定梯度方向。
在ImageNet数据集上进行的大量实验表明IIGA不仅在白盒攻击下优于FGSM、C&W等算法,在黑盒迁移攻击模式下也大大超过了SI-NI、VMI、AOA和TAIG等先进的算法。
【总页数】8页(P309-316)【作者】王正来;关胜晓【作者单位】中国科学技术大学信息科学技术学院【正文语种】中文【中图分类】TP391【相关文献】1.基于模型间迁移性的黑盒对抗攻击起点提升方法2.基于改进投影梯度下降算法的图卷积网络投毒攻击3.一种基于几何探测的快速黑盒边界攻击算法4.基于重要特征的视觉目标跟踪可迁移黑盒攻击方法5.优化梯度增强黑盒对抗攻击算法因版权原因,仅展示原文概要,查看原文内容请购买。
基于贝叶斯优化的黑盒迁移攻击方法研究基于贝叶斯优化的黑盒迁移攻击方法研究引言随着人工智能技术的快速发展,深度学习模型已经被广泛应用于图像识别、自然语言处理等领域。
然而,这些模型在实际应用中存在安全性问题,特别是对抗攻击。
对抗攻击是利用一些针对模型的扰动样本,使得模型在输入一定扰动样本后产生错误的输出。
近年来,针对模型的黑盒攻击成为研究的热点,目前的研究主要集中在通过迁移攻击实现黑盒攻击。
本文将介绍基于贝叶斯优化的黑盒迁移攻击方法的研究。
1. 黑盒迁移攻击概述黑盒迁移攻击是指攻击者无法访问目标模型的训练数据和参数信息的情况下进行的攻击。
在实际场景中,由于许多模型的训练数据和参数都是不可访问的,黑盒攻击成为一种普遍存在的隐患。
黑盒迁移攻击通过利用已知参数的源模型来生成具有迁移性的扰动样本,然后将这些样本迁移到目标模型进行攻击。
2. 贝叶斯优化在黑盒迁移攻击中的应用贝叶斯优化是一种优化方法,它通过不断优化模型的超参数来寻找最优解。
在黑盒迁移攻击中,贝叶斯优化可以用于确定最佳的攻击参数,从而提高攻击的成功率和效果。
首先,贝叶斯优化需要选择一个合适的目标函数作为优化目标。
在黑盒迁移攻击中,我们可以选取攻击成功率和扰动量作为目标函数。
攻击成功率表示攻击者成功将扰动样本迁移至目标模型并产生错误输出的概率,扰动量则是衡量扰动样本与原始样本的差异程度。
其次,贝叶斯优化需要选择一个适当的代理模型来近似目标函数。
在黑盒迁移攻击中,我们可以使用支持向量机(SVM)或者随机森林(Random Forest)等模型作为代理模型。
这些模型可以通过已知参数的源模型产生的扰动样本和目标模型的输出结果,来建立目标函数和参数之间的映射关系。
最后,贝叶斯优化通过不断更新目标函数和代理模型之间的关系,来搜索最佳的攻击参数。
具体来说,它使用贝叶斯公式计算每个参数可能性的后验分布,并根据这些分布选择最有希望的参数进行下一轮迭代。
这样,贝叶斯优化可以通过有效地利用已有数据来寻找最佳的攻击参数。
《基于侧信道攻击与数据缩减技术的黑盒对抗攻击研究》一、引言在网络安全领域,侧信道攻击(Side-Channel Attack)已逐渐成为一项重要技术,这种攻击通过攻击系统在运算过程中的某些物理特性,如电磁辐射、功耗等,从而窃取关键信息。
近年来,随着数据缩减技术(Data Reduction Technique)的崛起,与侧信道攻击结合应用的情况逐渐增多。
其中,黑盒对抗攻击作为最受关注的网络对抗攻击模式之一,它的复杂性以及它需要借助各种攻击策略的情况引发了大量研究。
本文将针对基于侧信道攻击与数据缩减技术的黑盒对抗攻击展开研究。
二、侧信道攻击概述侧信道攻击利用目标系统在处理过程中泄露出的非直接信息,如处理时产生的功率变化、时间延迟等物理信号来推导关键信息。
这种攻击不需要直接访问目标系统的核心代码或加密密钥,而是通过观察和分析系统在执行过程中的物理行为来获取信息。
侧信道攻击在许多领域都有应用,如密码学、硬件安全等。
三、数据缩减技术数据缩减技术是一种在处理大量数据时降低数据复杂性的技术。
在网络安全领域,数据缩减技术常用于减少数据的存储和传输需求,提高数据处理效率。
在侧信道攻击中,数据缩减技术可以用于减少攻击过程中收集的数据量,提高攻击的效率和准确性。
四、黑盒对抗攻击黑盒对抗攻击是一种对目标系统进行测试和评估的攻击方式。
在黑盒对抗攻击中,攻击者无法直接访问目标系统的内部结构或功能实现,只能通过与目标系统的交互来观察其表现和响应。
黑盒对抗攻击需要使用各种技术和策略来识别系统的漏洞和弱点,以便制定更有效的攻击计划。
五、基于侧信道攻击与数据缩减技术的黑盒对抗攻击研究结合侧信道攻击和数据缩减技术的黑盒对抗攻击具有更高的复杂性和挑战性。
在这种攻击中,首先通过侧信道分析收集目标系统的物理信息,然后利用数据缩减技术对收集到的数据进行处理和优化,以提高数据的可利用性。
随后,结合这些数据进行攻击尝试和验证,对目标系统进行安全性和可靠性的测试和评估。
![基于样本选择和模型进化的黑盒对抗性攻击防御方法[发明专利]](https://img.taocdn.com/s1/m/5d5fef12941ea76e59fa0495.png)
专利名称:基于样本选择和模型进化的黑盒对抗性攻击防御方法
专利类型:发明专利
发明人:陈晋音,苏蒙蒙,郑海斌,熊晖,林翔,俞山青,宣琦
申请号:CN201810192584.5
申请日:20180309
公开号:CN108520268A
公开日:
20180911
专利内容由知识产权出版社提供
摘要:一种基于样本选择和模型进化的黑盒对抗性攻击防御方法,包括以下步骤:1)用样本选择器从多类样本中随机选择部分样本输入到各种攻击模型中,生成大量对抗样本。
2)计算对抗样本的攻击效果,分析不同输入样本和攻击模型的攻击效果。
3)根据攻击效果,更新攻击模型和样本选择器中不同样本选择的个数,使得新生成地对抗样本具有更好的攻击效果;同时更新对抗样本池,保存攻击效果最好的几个对抗样本,在迭代结束之后,输出池中攻击效果最好的对抗样本作为本次进化的最终结果。
4)将大量的训练的输出结果和正常的样本进行训练,即可对该类攻击进行防御。
本发明能提升黑盒模型的防御能力。
申请人:浙江工业大学
地址:310014 浙江省杭州市下城区朝晖六区潮王路18号
国籍:CN
代理机构:杭州斯可睿专利事务所有限公司
代理人:王利强
更多信息请下载全文后查看。
![基于神经网络中间层正则化的黑盒攻击型防御系统及方法[发明专利]](https://img.taocdn.com/s1/m/4726634a001ca300a6c30c22590102020740f267.png)
专利名称:基于神经网络中间层正则化的黑盒攻击型防御系统及方法
专利类型:发明专利
发明人:李晓锐,崔炜煜,王文一,陈建文
申请号:CN202011281842.0
申请日:20201116
公开号:CN112464230B
公开日:
20220517
专利内容由知识产权出版社提供
摘要:本发明涉及人工智能安全领域,具体是基于神经网络中间层正则化的黑盒攻击型防御系统,包括第一源模型、第二源模型和第三源模型;基于神经网络中间层正则化的黑盒攻击型防御方法,包括S1、将图片输入第一源模型进行白盒攻击,输出第一对抗样本序列,S2、将第一对抗样本序列输入到第二源模型中,输出第二对抗样本序列,S3、将第二对抗样本序列输入到第三源模型中进行黑盒攻击,输出第三识别样本序列,S4、将第三识别样本序列输入第三源模型进行对抗训练,更新第三源模型;利用该算法生成的对抗样本具有对目标模型高迁移性的特性,也可以有效的通过对抗训练防御目标模型被攻击。
申请人:电子科技大学
地址:611731 四川省成都市高新区(西区)西源大道2006号
国籍:CN
更多信息请下载全文后查看。
基于SNGAN的黑盒恶意软件对抗样本生成方法基于SNGAN的黑盒恶意软件对抗样本生成方法近年来,恶意软件的威胁日益严重,给互联网和信息安全带来了巨大风险。
传统的基于签名检测的恶意软件识别方法已经无法满足对新型恶意软件的准确识别要求。
为此,研究者们提出了对抗样本生成方法,用于打破传统恶意软件检测器的防御。
本文将介绍一种基于SNGAN(生成对抗网络)的黑盒恶意软件对抗样本生成方法,该方法可有效欺骗恶意软件检测器,增强恶意软件的隐蔽性和危害性。
一、恶意软件检测方法的挑战传统的基于签名检测的恶意软件检测方法无法对未知病毒和变种进行有效识别,并且由于黑产人员的技术日益提高,使用加固、植入加密代码等手段来逃避静态和动态分析。
因此,新型的恶意软件检测方法迫切需要被研发。
二、对抗样本生成方法的应用对抗样本生成(Adversarial Sample Generation)是指通过对原始样本进行微小的篡改,使其在保持不影响人眼感知的前提下,能够骗过恶意软件检测器。
这种方法利用了机器学习模型的漏洞,生成的对抗样本能够欺骗恶意软件检测器,给出错误的判断结果。
三、生成对抗网络(GAN)的介绍生成对抗网络(GAN)是一种无监督学习算法,由生成器(Generator)和判别器(Discriminator)两部分组成。
生成器的目标是生成与真实样本相似的样本,判别器的目标是辨别真实样本与生成样本。
通过两者的对抗训练过程,GAN能够逐渐提高生成样本的质量。
四、基于SNGAN的黑盒恶意软件对抗样本生成方法本文提出的基于SNGAN的黑盒恶意软件对抗样本生成方法结合了生成对抗网络和恶意软件检测领域的先进技术。
具体步骤如下:1. 数据集准备:从已知的恶意软件样本中提取特征向量作为训练数据集。
特征向量可以是文件的二进制码、API调用序列等。
2. 训练生成器:利用生成对抗网络中的生成器作为黑盒模型,并将提取的特征向量输入生成器进行训练。
生成器将逐渐生成与真实样本相似的对抗样本。
《基于SNGAN的黑盒恶意软件对抗样本生成方法》篇一一、引言随着网络技术的飞速发展,网络安全问题愈发严峻。
黑盒恶意软件以其强大的攻击力和隐蔽性,对网络环境构成了严重威胁。
为应对这一挑战,研究者们提出了多种方法。
其中,基于生成对抗网络(GAN)的对抗样本生成技术,在恶意软件检测与防御领域展现出巨大潜力。
本文将详细介绍基于SNGAN(Spectral Normalization Generative Adversarial Network)的黑盒恶意软件对抗样本生成方法。
二、SNGAN原理概述SNGAN是一种生成对抗网络(GAN)的改进版本,其核心思想是通过在生成器和判别器中引入谱归一化(Spectral Normalization)技术,提高网络的稳定性和生成样本的质量。
在SNGAN中,生成器负责生成与真实恶意软件相似的对抗样本,而判别器则用于区分真实恶意软件和生成器生成的对抗样本。
三、黑盒恶意软件对抗样本生成方法(一)数据准备首先,需要收集大量的黑盒恶意软件样本和良性软件样本作为训练数据。
这些数据应涵盖各种类型和变种的恶意软件,以确保生成的对抗样本具有广泛性和有效性。
(二)模型训练1. 构建SNGAN模型:包括生成器和判别器的设计、网络层数、激活函数等参数的设定。
2. 训练判别器:使用真实恶意软件和良性软件样本对判别器进行预训练,使其具备区分真实和虚假样本的能力。
3. 训练生成器:通过与判别器进行对抗性训练,使生成器逐渐学会生成与真实恶意软件相似的对抗样本。
(三)对抗样本生成在模型训练完成后,生成器可以生成与真实恶意软件相似的对抗样本。
这些样本具有较高的欺骗性,可以用于测试恶意软件检测系统的性能。
四、实验与分析(一)实验设置为验证基于SNGAN的黑盒恶意软件对抗样本生成方法的有效性,我们进行了多组实验。
实验中,我们使用了不同类型和变种的恶意软件和良性软件样本,并对生成的对抗样本进行了评估。
(二)实验结果与分析1. 生成样本质量:通过对比生成样本与真实恶意软件的相似度,我们发现基于SNGAN的方法可以生成具有较高相似度的对抗样本。
《基于SNGAN的黑盒恶意软件对抗样本生成方法》篇一一、引言随着网络技术的不断发展,黑盒恶意软件成为网络安全领域的重要威胁之一。
由于黑盒软件行为的不确定性,其防范与检测变得尤为困难。
近年来,深度学习技术的兴起为解决这一问题提供了新的思路。
本文提出了一种基于SNGAN(Singular Spectrum Neural Network Generative Adversarial Network)的黑盒恶意软件对抗样本生成方法,旨在提高对黑盒恶意软件的检测能力。
二、SNGAN技术概述SNGAN是一种基于生成对抗网络(GAN)的深度学习技术,其通过生成器和判别器之间的竞争与协作,实现数据的生成与鉴别。
在黑盒恶意软件对抗样本生成中,SNGAN能够根据已知的恶意软件样本,学习其特征并生成具有相似特征的对抗样本,从而为检测系统提供更多的训练数据。
三、黑盒恶意软件对抗样本生成方法1. 数据准备:收集各类已知的黑盒恶意软件样本及其特征,包括二进制代码、网络行为等。
同时,收集相应的良性软件样本作为对比。
2. 特征提取:利用深度学习技术对恶意软件样本进行特征提取,包括静态特征(如二进制代码)和动态特征(如网络行为)。
3. 构建SNGAN模型:根据提取的特征,构建SNGAN模型,包括生成器和判别器两部分。
生成器负责生成具有相似特征的对抗样本,判别器则用于鉴别生成的样本与真实样本的差异。
4. 训练SNGAN模型:利用已知的恶意软件样本和良性软件样本对SNGAN模型进行训练,使生成器能够生成具有高相似度的对抗样本。
5. 生成对抗样本:将训练好的SNGAN模型用于生成黑盒恶意软件的对抗样本,这些样本具有与已知恶意软件相似的特征,但行为模式可能有所不同。
6. 检测系统训练:将生成的对抗样本与已知的恶意软件样本一起用于训练检测系统,提高其对黑盒恶意软件的检测能力。
四、实验与分析1. 实验环境与数据集:本实验采用公开的黑盒恶意软件数据集进行实验,包括不同类型和来源的恶意软件样本及其特征。
专利名称:一种针对电能质量信号神经网络分类模型的黑盒对抗样本攻击方法
专利类型:发明专利
发明人:田继伟,王布宏,郭戎潇,魏青梅,尚福特,曾乐雅
申请号:CN202011073941.X
申请日:20201009
公开号:CN112149609A
公开日:
20201229
专利内容由知识产权出版社提供
摘要:提出一种针对电能质量信号神经网络分类模型的黑盒对抗样本攻击方法,其特征在于,具体包括下列步骤:训练目标模型和攻击者的本地替代模型;攻击者针对本地训练模型生成通用扰动;攻击者使用生成的通用扰动攻击目标模型。
该方法有效利用神经网络的脆弱性和对抗样本的迁移性等特点,既符合攻击的实际情况,又具有较高的攻击成功率。
申请人:中国人民解放军空军工程大学
地址:710051 陕西省西安市长乐东路甲字1号空军工程大学
国籍:CN
更多信息请下载全文后查看。
黑盒威胁模型下深度学习对抗样本的生成孟东宇【摘要】深度学习系统在许多任务中表现出色.但研究表明,如果在原有输入上叠加一个很小的恶意噪声,其效果就会受到严重影响.这种恶意样本被称为对抗样本.针对此前对抗样本生成方法在威胁模型下考虑的不足,本文提出了一种黑盒模型下的对抗样本生成方法.该方案通过黑盒优化技术,对输入样本做多维高斯建模并逐步迭代优化进行对抗样本的求解.在标准测试数据集上的测试表明,本文方法可以不需要了解模型具体参数和结构就能以100%的成功率生成对抗样本.【期刊名称】《电子设计工程》【年(卷),期】2018(026)024【总页数】5页(P164-167,173)【关键词】深度学习;对抗样本;黑盒优化;计算机安全【作者】孟东宇【作者单位】上海微系统与信息技术研究所上海 200050;上海科技大学信息学院,上海 201210;中国科学院大学北京 100029【正文语种】中文【中图分类】TN06近年来,深度学习及相关技术高速发展,在众多领域取得了重大的突破[1]。
在机器视觉[2-3],语音识别等领域[4],基于深度学习的方法将原有方法的功能极限向前大幅推进。
而随着硬件性能优化和软件模型设计的进步,深度学习在很多实际生产生活场景中也得到了应用,自动驾驶汽车[5],人脸识别验证[6]等等技术称为了新的热点。
这些场景中,计算机系统的功能正确性对相关人员的生命财产安全起决定性作用。
因此,如何有效地对深度学习系统的安全性做检测和验证成为了重要的研究课题。
此前,研究人员已经发现,即使对于在正常测试样本上表现十分出色的神经网络模型,只需在正常测试样本上叠加一个非常小的恶意噪声,就可以导致神经网络出现错误。
这样由正常样本叠加微小恶意噪声而生成的数据样本被称为对抗样本。
对抗样本的存在对基于深度学习技术的人工智能系统造成了巨大的安全威胁。
由于深度学习技术的相关理论研究依然处于起步阶段,人们无法形式化地解释深度神经网络的工作机制,也就无法通过形式验证的方法确保大型深度神经网络的正确性。
• 42
•
一、相关介绍
目前,人工智能技术发展火热,其中离不开神经网络的快速崛起。
作为目前在计算机视觉、强化学习、自然语言处理、语音识别等领域效果最佳的机器学习模型,神经网络以其强大的特征提取能力、数据拟合能力而著称。
相比传统机器学习方法,神经网络不需要手工选择特征,其自组织、自学习的特点,更能够帮助模型捕捉到各类高维数据中隐含着的潜在规律。
并且,越来越多的智能应用开始逐渐落地,例如智能驾驶系统中的视觉感知、人脸识别应用、智慧城市等等。
值得注意的是,最近越来越多的研究证明,神经网络模型并非是一个足够鲁棒、安全的模型。
对于基础的分类网络来说,原本表现良好的分类器,会被输入端一些人为精心设计但是难以被人类察觉的小扰动噪音所欺骗,造成误分类现象。
这样被加工过的样本,被称为“对抗样本”(Adversarial Example),而这样人为对网络模型的误导攻击被称为“对抗攻击”(Adversarial Attack)。
现有对神经网络进行攻击的主流方法基本都为白箱攻击,即攻击的前提是已知网络模型内部结构,在寻找对抗样本所需的噪音扰动时,必须基于网络模型的梯度信息。
例如:
1.Fast Gradient Sign(FGS),利用神经网络模型梯度与符号函数,在每一个能够对发生误分类有贡献的像素上施加一个小步长的噪音。
在小步长合适的情况下,能够以一定
基于演化算法的神经网络黑箱攻击方法
同济大学软件学院 杨瑞嘉
几率完成对神经网络的白箱攻击。
2.Fast Gradient Value(FGV),在FGS方法的基础上提出改进,利用神经网络模型梯度信息,在所有像素上根据梯度方向,施加相应梯度大小乘以小步长的噪音。
该方法在一定程度上增大了网络攻击的成功率。
但是,在真正的现实情况中,攻击者往往无法完全知晓网络模型的内部结构,无法得到模型的梯度信息,也就无法利用以上的白箱攻击算法对网络进行攻击。
所以,黑箱攻击的算法往往具有更深刻的现实威胁。
相比起白箱攻击,关于黑箱攻击的算法研究相对较少。
目前被认可比较有效的黑箱攻击方法,主要利用了对抗样本的可迁移性。
该算法的基本思路为根据替代模型进行攻击,实现输入端噪音的模型迁移。
在未知目标网络模型的情况下,利用相同数据集输入与目标网络模型输出为标签,重新训练一个已知内部结构的替代模型。
利用白箱攻击方法,得到替代模型的欺骗噪音,同时该噪音有一定几率对原目标模型也具有欺骗效果,以此达到对神经网络的黑箱攻击。
但是该黑箱攻击算法无法保证攻击成功率。
二、算法介绍与分析
本文提出了一种新的黑箱攻击算法,并能以100%成功率完成对指定分类模型的攻击。
该算法,不仅仅能够使得分类网络错误分类,还能够实现对分类网络模的定向误分类,即使得分类模型将输入样本归类到指定的错误类别。
算法的主要步骤如下:
1.针对指定的分类模型,设立一个攻击目标类别,并将其以One-Hot形式作为向量表示。
仿照网络训练的监督训练过程,设立一个针对干扰噪音的优化问题,损失函数可采用分类常用的交叉熵函数。
与模型训练不同的是,训练过程是在寻找合适的网络权重,使得模型预测结果与正确的标签接近;而攻击过程,则是在寻找一个张量形式的噪音,使得网络模型的预测输出与攻击目标的向量表示更加接近。
这样便形式化了网络的攻击过程。
2.为了能够在无法接触到网络模型内部信息的基础上解决这一问题,采用黑箱优化方法——演化算法,来解决上述优化问题。
演化算法,通过启发式的空间搜索过程,利用“种群随机采样-精英选择-更新分布”的迭代过程来实现对优化问题中极值点的逼近。
具体的,种群随机采样过程,即根据一定数学分布(比如高斯分布)随机产生一系列的数据点,作为一个种群集合;精英选择过程,即针对种群集合中的每一个数据点,计算其对应的损失函数值,根据损失函数值的评价好坏,选择其中的部分数据点构成精英种群集合;更新分布过程,即根据精英种群中的元素表现,按照一定规则进行加权处理,并利用加权结果来更新种
• 43
•
为了降低电能的损失,必须在工作中做到电能表计量的准确度,而保证电能表的准确度首要工作则是做好接线的工作,作为电力系统运行状态中的主要装置,电能表的精准性和有效性的测量,可以保证供应方和消费方的公平交易,这正是电能表的维护和检测工作的意义,本文旨在对电能表的安装过程的探讨和对如何防范错误连线的经验总结,尽可能为工作人员提供有效的经验和可参考的理论。
引言:为了保障企业和用户的公平权益,电能的计量工作异常重要,作为供电方和消费者之间的核算凭据,计量的精准性直接关系到供电方和消费者之间的公平,本文从电能表的安装着手,分析具体的安装问题,制定详细的预防风险的规范,确保电能供应中的公平问题,并对电能表错误接线的方式进行探讨,进而对其应对措施进行介绍,尽可能减少电能计量中的误差,维护供电方和消费方之间的公平。
1 关于电能表概述及安装
1.1 电能表分类概述
作为一种在固定时间内计量电能的工具,电能表又称作电度表,根据其功能又可
群采样所依据的数学分布,使得整体分布能够更加接近所寻找的极值点,使得下次种群的采样能够有更多的数据点更加靠近极值点。
3.利用演化算法对形式化后的攻击问题进行求解,直到所寻找的干扰噪音能够使得网络模型误分类,就终止演化迭代过程。
将噪音加到输入图片上,就完成了“对抗样本”的制作。
图1 对抗样本实例图
本文针对M N I S T 数据集,训练了一个LeNet,并利用上述算法完成了对该模型的定向攻击。
图1中,左边一列为原始图片,并能够被模型正确分类;右边部分为针对各个攻击目标,生成的对抗样本,用以欺骗分类模型。
本文提出的方法,主要通过对攻击过程的数学形式化与黑箱优化方法的结合,完成针对神经网络分类模型的黑箱攻击。
相比起现有的黑箱攻击算法,该方法仅需要掌握模型的预测输出向量就可以完成对任意模型的直接攻击,而不需要利用替代模型作对抗样本迁移。
这样的优势,更加有助于对神经网络模型鲁棒性、安全性的检测。
