- ECCV对抗攻击的频域模型增强
本文提出了一种新的频域模拟攻击方法,通过将频域变换应用于输入,从而实现模型扩充,旨在打造更易传递的对抗样本,结果表明这种方法对攻击 9 个最先进防御模型具有较高的成功率。
- 基于集成梯度的可迁移对抗攻击
通过将标准客观函数优化、利用注意力图和平滑决策表面三种方法紧密整合,我们在本文中提出了一种新的简单算法 TAIG (Transferable Attack based on Integrated Gradients),它可以为黑盒攻击寻找高 - 随机平滑在受攻击环境下的实际效果如何?
本研究发现随机平滑在理论认证与实践中保护分类器免受黑盒攻击的设置存在差异,对 RS 进行攻击会导致认证的鲁棒性下降且分类器准确度降低。
- 语音识别黑盒对抗攻击的神经预测器
本论文介绍一种基于神经预测的方法 ——NP-Attack,通过逐步演进搜索空间寻找小的对抗性扰动,实现通过较少的查询数目攻击音频样本的目标。实验结果表明,NP-Attack 与其他最先进的黑盒对抗攻击相比,具有竞争力的结果。
- 针对迁移学习的模型倒置攻击:无需访问模型即可实现模型倒置
本文提出两种黑盒模型反演攻击方法,不需要查询学生模型,可以成功地从传统教师模型转移学习中的学生模型中恢复高度可识别的数据记录。
- 仅标签的模型反演攻击:需要最少信息的攻击
该研究论述了利用模型输出对数据记录进行逆推的方式,给出了基于置信度分数向量和目标模型参数的黑盒和白盒攻击方法,提出了一种仅需要标签输出就能成功逆推的新攻击方法,该方法利用目标模型的错误率计算数据记录到决策边界的中位数距离,生成置信分数向量并 - MM针对商业语音平台的黑盒对抗攻击
本文提出了两种新的针对商用云语音 API 和语音控制设备的对抗攻击方法:Occam 和 NI-Occam。在 Occam 中,我们将决策生成视为一个复杂的离散优化问题,通过适应性分解来协作地优化,并在多种语音和说话人识别 API 上取得了 - 利用几何变换的对黑盒视频分类器的对抗攻击
本文介绍了一种新的迭代算法 Geometric TRAnsformed Perturbations (GEO-TRAP),使用几何变换来降低有效梯度的搜索空间,从而实现黑盒攻击视频分类模型。该算法在广泛使用的 Jester 数据集上的攻击成 - ICLR对抗训练可能是把双刃剑
本文研究了对抗训练在提高图像分类器对白盒攻击的鲁棒性中的有效性,以及在黑盒攻击下的细微差别,并定义了鲁棒性增益的度量指标来衡量其效果。研究表明,尽管对抗训练是提高白盒场景下的鲁棒性的有效方法,但对于更现实的基于决策的黑盒攻击,则可能无法提供 - CVPRFACESEC: 面向人脸识别系统的细粒度鲁棒性评估框架
提出 FACESEC 框架,针对人脸识别系统进行精细化鲁棒性评估,并通过评估五个人脸识别系统的表现,发现神经网络结构的准确性比训练数据的知识对于黑盒攻击更为重要;开放式面部识别系统比封闭式系统更易受到不同类型攻击;而对于其他威胁模型变化的攻 - 线性反向传播提高对抗样本的可迁移性
本文研究深度神经网络中对抗样本易受攻击的问题,通过引入线性反向传播的方法,增强了对抗样本的传递性,实现了更加有效的黑盒攻击。
- SurFree: 快速无替代黑盒攻击
该文章介绍了使用几何学方法的黑盒决策攻击的分类器,SURFREE,通过精确指示分类器决策边界的几何属性,实现了超过之前攻击的查询次数的快速失真衰减和竞争优势。
- ACLSHIELD: 用随机多专家修补程序防御文本神经网络遭受多种黑盒对抗攻击
提出一种名为 SHIELD 的算法,将文本神经网络的最后一层进行修改和重新训练,形成一种加权多专家预测头的随机加权集合,从而混淆攻击者并进一步提高模型准确率。
- ICCV批量归一化增加对抗性漏洞性并降低对抗性可传递性:一个非强健特征的视角
本研究分析批量标准化在深度神经网络中的影响,提出通过分离鲁棒性和有效性来评估其对神经网络的贡献,并探究其对于特征鲁棒性的贡献程度以及其对于黑盒攻击的可重用性。
- ECCV黑盒对抗攻击查询效率提升
本文提出了一种基于神经过程的黑盒对抗攻击方法(NP-Attack),利用神经过程对图像结构信息进行建模,以提高查询效率,实验结果表明,NP-Attack 能显著减少黑盒情况下的查询次数。
- ECCV又一种中等级攻击
本文提出了一种通过建立中间层次的线性映射以增强基线对抗样本的黑盒可迁移性的方法,实现了在 CIFAR-100 和 ImageNet 上的实验验证以及比之前的最新技术表现强大。
- TextDecepter:针对文本分类器的硬标签黑盒攻击
本文介绍了一种针对自然语言处理分类器的黑盒硬标签攻击的新方法,其中没有模型信息被公开,攻击者只能查询模型以获得分类器的最终决策,该攻击场景适用于用于情感分析和有毒内容检测等安全敏感应用的真实世界黑盒模型。
- 针对图神经网络的更实用的对抗性攻击
研究黑盒攻击图神经网络中节点选择的问题,发现通过基于 PageRank 的重要度计算可提高分类误差率,提出一种基于贪心算法的修正方法能有效地解决被攻击节点数量与分类误差率之间的矛盾。
- CVPR基于投影与概率的黑盒攻击
通过压缩感知和概率驱动策略,利用少量请求达到更好的优化效果,从而解决黑盒攻击中存在的过多请求的问题,并在与其他攻击方法比较后证明其具有更高的攻击成功率。
- ECCVPatchAttack:一种基于纹理的黑盒攻击方法及其强化学习实现
PatchAttack 是一种基于纹理字典和增强学习的有效的图像对抗攻击方法,可以在图像中超级位置化小型纹理贴片从而成功诱导图像分类错误,即使在针对性攻击的情况下仅更改 3%至 10%的图像。