首页 > 其他分享 >攻击方法(Adversarial method)

攻击方法(Adversarial method)

时间:2024-07-22 19:56:06浏览次数:18  
标签:基于 Based 攻击 梯度 Adversarial 优化 方法 method

简介

本文基于文章A Review of Adversarial Attack and Defense for Classification Methods的总结,提供对抗领域的几种常见的攻击方法;

一、基于梯度的攻击(Gradient-Based Attack)

非常经典的一种攻击方式,传统论文采用的攻击方法如FGSM,PGD,BIM,C&W等都是基于梯度的攻击方法

这些方法常基于某个优化指标,通过指标对样本的梯度从而最大最小化指标

1.1基于约束优化公式的方法

这种方法常常是损失引导的

x^*=x_0+\delta\quad\mathrm{with}\quad\delta=\arg\max_{\delta\in\mathcal{S}}L(\theta,x_0+\delta,y_0)

即通过最大化对抗样本的损失使得分类器错误分类

这里的\mathcal{S}为可行域,为了使得对抗样本合法,图片中常以盒约束(box constraint)限制扰动大小,即x_0+\delta \in [0,1]^n,也就是每个通道像素值被限定到0,1之间

这里的\delta为扰动,常用\epsilon球(\epsilon ball)约束,也就是扰动的无穷范数(最大值)应小于\epsilon,即

\|\delta\|_{\infty} \leq \epsilon

上述公式可改写为\arg\max_{\delta\in\mathcal{S}}L(\theta,x_{0}+\delta,y_{0})=\arg\max_{\|\delta\|_{\infty}\leq\epsilon}L(\theta,x_{0}+\delta,y_{0})

 基于该方式产生了很多非常经典的攻击手段,如FGSM,PGD,BIM都是论文中常用的比较手段

其中投影梯度下降攻击(PGD)是一阶攻击中最强的手段

其本质理解为迭代式的FGSMx^{t+1}=\Pi_\epsilon\left\{x^t+\alpha\cdot\mathrm{sign}\Big(\nabla_{\boldsymbol{x}}L(\boldsymbol{\theta},\boldsymbol{x}^t,y)\Big),\boldsymbol{x}_0\right\}

1.2基于正则化优化配方的方法

该维度下最经典的算法就是C&W(详细可以看我之前写的这篇),其通过提出目标函数(objective function)

g(x)=\max\{f(x)_{y_0}-\max_{i\neq y_0}f(x)_i,0\}

通过求解以下问题生成对抗样本

x^*=\underset{x}{\operatorname*{argmin}}\left\{\|x-x_0\|_2^2+cg(x)\right\}

这是一种目标攻击,功能函数意义为以0为临界判断是否成功攻击

其一定程度上仍是损失引导的,只是同以往的损失函数(交叉熵)定义不同罢了,该功能函数相对于交叉熵来说更为高效

C&W注重攻击是否成功的同时也把扰动大小加入了优化目标,所以往往在相同扰动大小下能有更高的攻击成功率

C&W求解也要用到梯度方法,该方法实际往往会经过更多次的迭代,同时超参数c在不同场景下也需要计算出最佳值,这也就造成了其消耗计算资源大,耗时长的问题

当然对其优化目标稍作修改也可以是非目标攻击g(x)=\max\{\max_{i\neq t}f(x)_i-f(x)_t,0\}

此后提出了其改版弹性网络攻击(EAD),其优化目标多了一项:

x^*=\underset{x}{\operatorname*{argmin}}\left\{\|x-x_0\|_2^2+\beta\|x-x_0\|_1+cg(x)\right\}

\frac{\partial f(x)}{\partial x_{(i)}}\approx\frac{f(x+he_i)-f(x-he_i)}{2h},

大多数基于梯度的攻击方法属于上述两个子类别,但也有其他类型的基于梯度的攻击方法

二、基于分数的攻击(Score-Based Attack)

在黑盒(black box)场景下,攻击者无法获取目标模型的信息(包括网络结构以及梯度)

基于分数的攻击方法可以得知目标模型的输出logits,其不需要访问梯度,而是根据目标模型的输出分数f(x)_i执行对抗性攻击。

2.1基于梯度逼近的方法(Gradient-Approximation Based Methods)

当梯度无法获取的时候,基于梯度的攻击遍无法开展,这类方法通过逼近梯度或者梯度符号的方式进行攻击

基于零阶优化的攻击(ZOO)使用有限差分方法来近似输入的损失梯度。然后应用C&W攻击生成一个对抗性示例。使用下式估计梯度:

\frac{\partial f(x)}{\partial x_{(i)}}\approx\frac{f(x+he_i)-f(x-he_i)}{2h} 

这里e_i是第i维度为1的标准基向量,也就是

\begin{bmatrix} e_1\\ e_2 \\ ... \\ e_n \end{bmatrix}=E_n= \begin{bmatrix} 1 & & & \\ & 1& & \\ & & 1& \\ & & & 1 \end{bmatrix}

其本质使用拉格朗日中值定理,前提为导函数尽量连续且变化不大,可以用中间某一点的值近似导数值.

三、基于决策的攻击(Decision-Based Attack)

更进一步情况,如果只能得知目标模型输出的类别

3.1基于转移的攻击(Transfer-Based Attacks)

和知识蒸馏有异曲同工的功效,基于目标模型\教师模型训练的替代模型\学生模型有许多相似之处,对替代模型有效的攻击对目标模型往往也有效果;基于这种思路衍生出许多攻击方法

3.2基于随机游走的攻击(Random-Walk Based Attacks)

以下提出了一种基于边界的随机游走攻击,边界攻击的性能可与最先进的白盒攻击相媲美

从提案分布中采样过程为:

从正态分布中采样\boldsymbol{\eta}^{t}\sim\mathcal{N}(\mathbf{0},\boldsymbol{I}) 

裁剪\tilde{x}^{t-1} + \eta^{t} \in D使其落入可行域,同时满足\|\eta^t\|_2 = \delta \cdot d(x,\tilde{x}^{t-1}),其中d(\cdot)表示距离

投影\boldsymbol{\eta}^t使得满足d(x,\tilde{x}^{t-1}+\eta^{t})=d(x,\tilde{x}^{t-1})

移入可行域\tilde{x}^{t-1}+\eta^{t}\in\mathcal{D}并且满足d(x,\tilde{x}^{t-1})-d(x,\tilde{x}^{t-1}+\eta^{t})=\epsilon\cdot d(x,\tilde{x}^{t-1})

3.3基于优化的攻击(Optimization-Based Attacks)

最近的研究人员发现,PGD和C&W损失都是不明确的,相反,我们需要将问题重新定义为寻找对抗性示例的最佳方向θ。

仔细看来,PGD优化方向为损失上升的最快方向,然而并不是错分类最快的方向;找到一个准确的方向对攻击而言会显得更加高效。

对于给定样本x_0,优化目标定义为g(\theta)=\arg\min_{\lambda>0}\left(f(x_0+\lambda\frac{\theta}{\|\theta\|})\neq y_0\right)

最小化这个目标也就是\theta^*=\arg\min_{\theta}g(\theta)

优化目标含义为朝\theta单位向量方向移动\lambda使得错误分类,最小的\lambda(也就是步长)对应\theta^*即为最高效的方向。

g(\theta)的梯度没有办法直接求,但可以通过二分搜索计算g(\theta)的函数值,因此可以使用标准的零阶优化求解器进行求解。

在OPT攻击中,使用随机梯度豁免 (RGF)方法(Nesterov and Spokoiny 2017)来解决该问题。后来产生了改进方法Sign-OPT。

标签:基于,Based,攻击,梯度,Adversarial,优化,方法,method
From: https://blog.csdn.net/a2333333_/article/details/140521956

相关文章

  • 基于WebGoat平台的SQL注入攻击
    目录引言一、安装好JAVA二、下载并运行WebGoat三、注册并登录WebGoat四、模拟攻击1.第九题2.第十题3.第十一题4.第十二题5.第十三题五、思考体会1.举例说明SQL 注入攻击发生的原因。2.从信息的CIA三要素(机密性、完整性、可用性)出发,举例说明SQL 注入攻击......
  • SolarMarker 正在使用水坑攻击与伪造的 Chrome 浏览器更新进行攻击
    在过去的三个月里,eSentire的安全研究团队发现信息窃密恶意软件SolarMarker都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker的运营者使用SEO投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的Chro......
  • SolarMarker 正在使用水坑攻击与伪造的 Chrome 浏览器更新进行攻击
    在过去的三个月里,eSentire的安全研究团队发现信息窃密恶意软件SolarMarker都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker的运营者使用SEO投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的Chro......
  • SolarMarker 正在使用水坑攻击与伪造的 Chrome 浏览器更新进行攻击
    在过去的三个月里,eSentire的安全研究团队发现信息窃密恶意软件SolarMarker都没有发动攻击,却在最近忽然重返舞台。此前,SolarMarker的运营者使用SEO投毒或者垃圾邮件来引诱受害者,受害者试图下载一些文档的免费模板,就被攻击者盯上了。最新的攻击中,攻击者开始利用伪造的Chro......
  • 【攻防技术系列+ARP协议】Kali实现断网攻击
    什么是ARP欺骗攻击文❓ARP(AddressResolutionProtocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。ARP具体说来就是将网络层(也就是相当于OSI的第三层)地址解析为数据链路层(也就是相当于OSI的第二层)的物理地址(注:此处物理地址并不一定指MAC地址)。ARP缓存是个用来储存IP地......
  • 【攻防技术系列+PowerShell】无文件落地攻击
    #红队#MSF#powershell虚拟机环境搭建:【Kali】,192.168.10.131【win7】,192.168.10.134接上文:【攻防技术系列】MSF进程迁移,用的是里面的1.exe。如果遇到端口占用情况,可以采用以下解决方案:之后在【win7】中使用powershell执行以下命令,实现无文件落地攻击powershell-nop......
  • 【漏洞分析】Li.Fi攻击事件分析:缺乏关键参数检查的钻石协议
    背景信息2024年7月16日,Li.Fi协议遭受黑客攻击,漏洞成因是钻石协议中diamond合约新添加的facet合约没有对参数进行检查,导致call函数任意执行。且diamond合约拥有用户的approve,所以攻击者可以构造恶意参数对用户资金进行转移。攻击交易https://app.blocksec.com/expl......
  • LLM Attack | 对抗攻击
    总览:“这次我们从一道题目入手体会对抗学习以及Decoder生成过程的细节”题目链接:https://github.com/USTC-Hackergame/hackergame2023-writeups/tree/master/official/......
  • 在Linux中,DDOS攻击的原理是什么?
    在Linux环境中,DDoS攻击(DistributedDenialofService,分布式拒绝服务攻击)的原理是通过控制多个计算机或设备(通常被称为“僵尸网络”或“僵尸军团”)向目标服务器或网络设备发送大量请求,以消耗目标系统的资源,导致其无法正常处理合法的请求,从而使服务不可用或系统崩溃。以下是DDoS攻......
  • 【漏洞分析】DoughFina 攻击事件分析:不做任何参数检查的去杠杆合约
    背景介绍2024年7月12日,DoughFina协议遭受了黑客攻击,造成本次攻击的主要原因是ConnectorDeleverageParaswap合约没有对输入参数进行检查,且该合约为DSA合约的owner。攻击者可以构造恶意参数窃取DSA合约的资金。攻击交易https://app.blocksec.com/explorer/tx/eth/0x......