- AAAI通过零阶自然梯度下降实现查询有效的黑盒对手
本文提出了零阶自然梯度下降(ZO-NGD)方法,以设计对抗性攻击,通过采用零阶梯度估计技术和二阶自然梯度下降方法,在黑盒攻击场景中提高查询效率,并在图像分类数据集上进行实证评估,证明 ZO-NGD 相对于现有攻击方法可以获得显著的模型查询复 - MMAmora: 黑盒对抗变形攻击
研究了一种名为 Adversarial Morphing Attack 的针对面部识别系统的攻击方法,该攻击方法在语义层面上对像素进行扭曲,通过学习光流场解决黑盒攻击的问题,可以有效地进行人脸表情的篡改和攻击。
- AAAI基于启发式黑盒方法的视频识别模型对抗攻击
提出了一种基于启发式算法的黑盒视频识别攻击模型,生成的对抗扰动仅作用于筛选的视频帧和区域,大大降低了计算成本和减少了查询次数,攻击效果明显。
- 一种更高效的黑盒对抗攻击方法:平铺和进化策略
介绍一种新的黑盒攻击方法,它使用一种新的目标函数并扩展了以前的黑盒对抗攻击方法,证明深度神经网络不具有单次平铺攻击的鲁棒性,并在预算限制下(对抗攻击成功率能达到 99.2%),在有限的预算下(对抗攻击成功率能达到 100%),比当前最先进的 - AAAI针对图嵌入模型的受限黑盒对抗框架攻击
本文研究了图信号处理与图嵌入模型之间的理论联系,将图嵌入模型作为一个通用的图信号进程,并提出了一种广义的对抗攻击器:GF-Attack,该攻击只针对图滤波器,不需要访问任何目标分类器的知识。实验结果表明,我们的攻击器对多个基准数据集的不同图 - 基于群体进化算法的神经网络黑盒攻击
该论文提出一种基于进化算法的黑盒攻击方法,可以成功生成针对神经网络模型的对抗样本,并且具有鲁棒性和随机性,实验结果表明该算法的复杂度受到模型和数据集的影响,同时对抗样本在某种程度上能够复制神经网络学习到的样本特征。
- 一种高效且有效的对抗攻击的 Frank-Wolfe 框架
本文提出一种基于 Frank-Wolfe 算法的新型优化算法框架,可同时用于白盒和黑盒情况下的对抗攻击,并表示该算法具有高效性、有效性和优越的性能。
- CVPRMeshAdv:面向视觉识别的对抗性网格
本文提出了一种叫做 meshAdv 的方法,用于生成具有丰富形状特征但纹理变化最小的物体的 “对抗性 3D 网格模型”。使用可微渲染器进行对象的形状和纹理的操作,可以有效地攻击分类器和物体探测器,并在不同视角下进行攻击评估,同时设计了一个管 - 低频对抗扰动
本文提出了一种基于低频领域的对抗攻击方法,能够有效地减少模型查询次数,即使模型和防御策略未知,也能规避图像转换的防御策略,并展示了使用该技术欺骗 Google Cloud Vision 平台模型查询次数极低的成果。
- 主动学习实现的查询效率高的黑盒攻击
本文探究了 DNN 的黑盒攻击方案,使用现有的白盒攻击方法产生的采样样本进行训练替代模型,并提出主动学习策略和多样性准则以优化其表现,实验证明该方法可以将查询数量减少超过 90% 并保持黑盒攻击成功率。
- 通过方差减少方法的随机零阶优化
本文提出一种基于随机零阶梯度与方差降低的高斯平滑的新型方法,用于优化非凸函数,特别是深度神经网络的黑盒攻击问题,并在实验中证明了其比现有的导数 - free 优化技术表现更优。
- AAAIAutoZOOM:基于自编码器的零阶优化攻击黑盒神经网络方法
该研究提出 AutoZOOM 框架,通过自动编码器和自适应梯度估计策略,在保持攻击成功率和视觉质量的同时,显著减少了黑盒攻击中模型查询的数量,从而在对抗性稳健性方面提供了新的见解。
- 用于生成普适性对抗扰动的通用无数据客观函数
本篇论文针对机器学习模型中的对抗扰动问题,提出了一种新的、通用的、不依赖于数据的目标函数,通过在多个层次上损坏提取的特征来生成图像无关的对抗扰动。实验结果表明,该目标函数相比于现有的方法具有更好的鲁棒性,能够在黑盒攻击场景下有效攻击深度学习 - MMZOO: 无需训练替代模型的基于零阶优化的黑盒攻击深度神经网络
本文提出了零阶优化的黑盒攻击方法,该方法不需要训练替代模型而直接估计目标 DNN 的梯度来生成对抗性例子,实验结果表明该攻击方法在 MNIST、CIFAR10 和 ImageNet 的数据集上与白盒攻击方法效果相当且明显优于现有的替代模型的 - 深度文本分类存在欺诈性
本文介绍了一种有效的方法来生成文本对抗样本,证明了基于深度神经网络的文本分类器同样容易受到对抗样本的攻击。通过计算代价梯度或者生成一系列遮盖测试样本,可以识别用于分类的文本信息,基于这些信息,设计了三种扰动策略(插入、修改、删除)来生成对抗