- 元毒:实用的通用干净标签数据投毒
MetaPoison 是一种第一阶段方法,它通过元学习来近似二级问题,并制造了能欺骗神经网络的有毒数据,解决了深度模型中数据污染的问题,此举可攻击黑盒 API。
- 对抗性 Windows 恶意软件的保留功能性黑盒优化
本文介绍了一种基于注入良性内容的黑盒攻击方法,通过优化注入负载与规避检测的概率之间的权衡,利用很少的查询和小的负载,我们的黑盒攻击可以绕过两个流行的静态 Windows 恶意软件检测器,并且可以在平均 12 个标准的商业杀软中规避检测。
- 多样性可以被传递:白盒和黑盒攻击的输出多样化
提出了一种新的采样策略 Output Diversified Sampling (ODS),通过最大化目标模型输出中样本间的多样性,使得简单的扰动攻击在黑白盒攻击中表现得更加高效,并通过实验验证其在 ImageNet 上使最先进的黑盒攻击查 - ICLR攻击神经文本检测器
本文介绍了两种黑匣子攻击方法,一种是将字符随机替换为了形似字,另一种是故意拼错单词,受攻击的神经文本检测器从 97.44%降至 0.26%和 22.68%,攻击也可转移至其他文本检测器。
- 对云端图像分类器服务攻击的对抗样本可迁移性研究
本篇研究提出一种新的攻击方法,在云平台上进行黑盒攻击,并提出防御技术。攻击方法使用一种代替模型的方法,只使用很少的查询次数就能以超过 90%的准确率成功攻击不同的分类服务。
- 使用近似时间信息对强化学习智能体进行黑盒攻击
通过使用序列到序列(sequence-to-sequence)模型和时序信息,本研究在黑盒攻击下预测和触发强化学习(reinforcement learning)代理的行为,并提出对先前论文中的缺陷进行了新的评估基准。
- 白盒与黑盒:成员推断的贝叶斯最优策略
本文探讨了成员推断中的最优策略。我们发现最优攻击仅取决于损失函数,因此黑盒攻击与白盒攻击一样好。通过多种逼近方法,我们的成员攻击在各种设置中均优于现有技术。
- 混合批量攻击:使用有限查询找到黑盒对抗样本
通过使用本地模型的候选对抗性示例作为优化攻击的起点,并使用优化攻击中学习的标签来调整本地模型以查找转移候选项,我们提出了一种混合攻击策略,并引入了一种种子优先策略,从而使攻击者能够专注于最有前途的种子。结合我们的种子优先策略,混合攻击可以可 - 深度强化学习攻击特征分析
本研究主要研究深度强化学习模型的脆弱性,针对相应的攻击方式进行了探究,并提出了黑盒攻击、在线顺序攻击等攻击方法来应对其高计算需求,同时探讨了攻击者扰动环境动态的可能性,并通过实验验证了这些攻击方式的有效性。
- 子空间攻击:利用有前途的子空间进行查询高效黑盒攻击
本文介绍如何在黑箱攻击中利用参考模型的梯度来降低查询复杂度,提高黑箱攻击的效率和成功率,实验结果表明,与现有技术相比,本文提出的方法可以在查询数量上获得 2x 到 4x 的降低,并且具有更低的失败率。
- ICML简单黑盒对抗攻击
本文介绍了一个基于连续数值置信度分数的、高效构建黑盒中敌对图像的简单迭代算法,并且该算法同样适用于有目标和无目标攻击。作者使用少于 20 行的 PyTorch 代码在 Google Cloud Vision API 中展示了该算法的高效和有 - KDDIDSGAN: 针对入侵检测的攻击生成的生成对抗网络
本文提出了一种基于生成对抗网络的攻击框架 IDSGAN,用于欺骗和逃避检测来攻击入侵检测系统中的黑匣子攻击,通过针对多个基于算法的检测模型的比较实验,证明了该模型的鲁棒性和有效性。
- ECCV灰盒对抗训练
本文介绍了对抗性训练及其在构建鲁棒模型方面的应用,提出了新型白盒和黑盒攻击,即灰盒对抗攻击,提出了一种新颖的模型鲁棒性评估方法,并提出了一种新型的对抗性训练:灰盒对抗训练,其使用模型的中间版本来引导敌手生成更加有效的对抗样本,实验证明此方面 - ICLR有前科的:基于匪类和先验的黑匣子对抗攻击
研究黑盒设置中生成对抗性示例的问题,介绍了统一黑盒攻击的框架,并演示了现有技术在某种意义上的最优性,同时,通过引入梯度先验,提出了一种基于探险优化的算法来无缝集成梯度先验。
- GenAttack:基于梯度自由优化的实用黑盒攻击
这篇论文提出了 GenAttack—— 一种基于遗传算法的无梯度黑盒对抗攻击优化技术,在 MNIST、CIFAR-10 和 ImageNet 数据集上成功地生成了对抗性样本,攻击了最新的图像识别模型,且所需的查询量比之前的攻击方法少了几个数 - 通过强化学习学习如何逃避静态 PE 机器学习恶意软件模型
该研究提出了一种基于强化学习的通用框架,用于攻击静态的可移植执行文件软件应用防病毒引擎,具有黑盒特性,通过与防病毒引擎进行若干次博弈,学习哪些操作序列可能会导致任何给定的恶意软件样本逃避检测。作者的方法可以攻击梯度提升机器学习模型,并导致可 - 生成黑盒对抗文本序列以躲避深度学习分类器
本文提出了一种称为 DeepWordBug 的算法,它可以在黑盒设置下生成小的文本扰动以强制深度学习分类器错误地分类文本输入,并通过基于词的 LSTM 和基于字符的 CNN 等八个真实世界文本数据集的实验表明,我们的算法可以有效地降低当前最 - IJCAI使用对抗网络生成对抗性样本
本文提出了 AdvGAN,一种使用生成对抗网络产生高感知质量的对抗样本的方法,可以更高效地生成对抗性的扰动用于敌对训练,同时在半白盒和黑盒攻击设置下,AdvGAN 都能在 MNIST 黑盒攻击竞赛中取得 92.76%的攻击成功率。
- 探索对深度神经网络的黑箱攻击空间
提出了一种新的基于梯度估计的黑盒攻击方法,攻击者可以查询目标模型的类概率,无需使用可转移性。该攻击在 MNIST 和 CIFAR-10 数据集上的攻击成功率均超过 100%,同时成功攻击了 Clarifai 的实时图像分类器和最新防御方法。
- NIPS对分类器的查询限制黑盒攻击
本文研究了针对机器学习分类器的黑盒攻击,其中每个向模型的查询都会给对手带来一些代价或检测风险。我们的重点是将查询次数最小化作为主要目标。具体而言,我们考虑了在最小化查询次数的同时遵守特征修改成本预算的机器学习分类器攻击问题。我们描述了一种利