本研究首次证明存在领域不变的对抗性攻击,提出了一个用于在不同领域中高度转移的攻击框架,核心是一个可生成网络,具有相对论监督信号,能够实现领域不变的扰动。该方法在白盒和黑盒情况下均创新了欺骗率的最佳性能,并且尽管它是一个无实例特定扰动的函数,但优于传统上更强的实例特定攻击方法。
May, 2019
该研究讨论在深度神经网络(DNN)图像分类器范围内的黑盒传递目标对抗攻击威胁模型,提出的方法通过扰动特征层级上的表示来模仿其他类别,使用灵活的攻击框架显示出 ImageNet DNNs 之间的最新目标传输性能,并说明其优越性,相比于其他黑盒传输方法,成功率提高了 10 倍,该方法胜过现有的攻击策略,并在有限的黑盒模型查询情况下同时展示了该方法的扩展性。
Apr, 2020
通过利用深度神经网络对图像高频分量的扰动的脆弱性,我们提出了一种新方法来生成可转移的有针对性对抗样本,该方法通过训练条件生成器生成针对性的对抗扰动,并将其添加到图像的低频分量中,实验证明我们的方法显著优于现有的方法,将有针对性攻击成功率提高了 3.2% 至 15.5%。
Oct, 2023
提出一种基于永续度量的方法,通过创造高度扭曲网络特征空间的攻击来达到高度通用的敌对样本,旨在打破相对有限的目前攻击的限制,并可将其通过多个网络扩展到多个任务。
Nov, 2018
本文提出了一种翻译不变攻击方法,该方法利用一个翻译图像集合上的扰动以生成更易于转移的对抗示例,并表明该方法通常适用于任何梯度攻击方法。作者在 ImageNet 数据集上广泛实验验证了该方法的有效性,并证明该攻击技术的存在不安全性。
Apr, 2019
该论文提出了一种新的生成方法 —— 高度可转移的有目标扰动(TTP),该方法不依赖于源或目标域标签,能够自适应地合成特定于给定输入的扰动,并且在广泛的攻击设置下始终表现优异。
Mar, 2021
本研究提出一种称为 StyLess 的对抗攻击方法,通过使用包含不同风格特征的样式化网络,以及利用自适应实例标准化来编码不同的风格特征,从而生成具有可转移性的扰动,以此提高对抗样本的攻击传递能力,并在与其他攻击技术结合时优于现有的攻击方法。
Apr, 2023
深度神经网络的关键问题之一是对抗性攻击和转移性,考虑到安全性和未来的发展,需要加强对抗性漏洞的防御。
本文系统研究了影响对抗样本传递性的两类因素,包括网络结构、测试精度等模型特定因素和构建对抗样本的损失函数的局部光滑性。基于这些理解,提出了一种简单而有效的策略来增强传递性,称为方差降低攻击,因为它利用方差降低梯度来生成对抗样本,实验结果表明其有效性。
Feb, 2018
本文研究了如何对抗防御模型的可转移对抗样本,特别是展示出一种简单的通用扰动可以欺骗一系列最先进的防御模型。通过观察到对抗扰动中的区域同质性,我们建议采用一种有效的转换范式和定制的梯度变换器模块将现有扰动转化为区域同质性扰动。通过全面实验,我们发现本文的工作在转移攻击设置下比先前的攻击算法提高了 14.0% 的效果。