本文提出了对抗样本的黑盒攻击策略，也就是在没有分类训练数据或模型知识的情况下生成对抗样本。 即通过构建一个综合数据集（通过收集目标分类器的输入和输出），以训练目标模型的替代品（本地构建的相似的模型），实现对目标模型的攻击。 三个关键属性： （a）所需的功能仅限于观察输出类标签 （b）查询的标签数量为有限 （c）除了最新的DNN，该方法也适用于不同的ML分类器类型 黑盒攻击策略： 训练替代模型：攻击者通过基于雅可比启发式算法（Jacobian based heuristic）的合成输入来查询模型并获得模型输出。通过输入和输出构建本地替代模型的训练集，通过此训练集训练替代模型，使替代模型...

之前对抗攻击算法都是在整个图像的所有像素点上做微小的扰动，以达到欺骗模型的目的。而本文的思想是只改变少量的像素点，甚至在只改变一个像素点的极端情况下就能获得较好的攻击效果。提出了一种基于差分进化（DE）生成单像素对抗样本的黑盒攻击（仅需要概率标签）算法。由于DE的固有属性，仅需要较少的对抗信息就可以欺骗更多类型的网络。 算法优点 ： 高效性 半黑盒攻击：只需要返回黑盒的类标概率而不用网络的内部参数。 灵活性：可以攻击那些不可微或梯度难以计算的模型。 主要出发点： 自然图像邻域的分析 感知度量 单像素攻击是只改变一个像素点的极端情况下进行攻击。与之相反，通用对抗扰动则...

本文提出了一种基于空间变换（spatially transformed）（smooth image deformation）的对抗样本生成算法。（ L p L_p Lp​距离较大，但图像更真实更不容易被检测） 之前的生成算法大多是将 L p L_p Lp​范数作为损失函数，然后直接调整像素值。 两个重要因素 1）图片亮度和质量 2）几何关系 先前的大多数对抗攻击都建立在改变亮度和质量的基础上，同时假设在对抗扰动生成过程中图片的几何关系保持不变。 算法： 最小化空域局部形变，而不是传统的像素值 L p Lp Lp 距离。具体地，设输入图像为 x x x，输出的对抗样本为 x a d v x...

本文提出了计算自然图像中普遍扰动的算法，在神经网络上具有很好的泛化性，并且揭示了模型在高维空间中决策边界的几何联系。并且说明了在输入空间中存在单个方向的潜在安全漏洞，攻击者可能会利用这些漏洞造成模型对大多数自然图像分类错误。 universal 算法： μ \mu μ是图像分布 v v v是universal扰动 k ^ \hat{k} k^是模型 universal扰动 v v v需要满足两个条件： ξ ξ ξ表示控制扰动 v v v的幅度大小 δ δ δ表示对于所有自然图像（满足图像分布服从 μ \mu μ）的期望扰动成功率 假如当前的 v v v不足够扰动 x i x...

与之前的基于提高原始类别标记的损失函数或者降低目标类别标签概率的损失函数的方式不同，这篇文章提出利用输入特征到输出值之间的对抗显著性，达到只需修改少量的输入值即可误分类的目的。 换句话说，之前的对抗样本的扰动方向都是损失函数的梯度方向（无论是原始类别标记的损失函数还是目标类别标记的损失函数），该论文生成的对抗样本的扰动方向是目标类别标记的预测值的梯度方向，作者将这个梯度称为前向梯度（forward derivative）。 深度学习应用系统中，模型的完整性(Intergrity)非常重要，与模型的预测结果准确性有关，具有非常高的应用价值。因此，深度学习攻击模型主要攻击深度学习模型的完整性...

本文提出了两种攻击算法，第一种是针对输出类别生成通用扰动（定向攻击），第二种针对不同图像生成特定扰动（定向攻击）。 UPSET:Universal Perturbations for Steering to Exact Targets UPSET网络为针对原始图像生成具有通用扰动的对抗样本，且可以使模型误分类为指定的目标类别。 x x x：原始图像 t t t ：目标类别 x ^ \hat{x} x^ ：对抗样本 对抗扰动： r j ， j ∈ 1 , 2 , ⋯ , n r_j，j∈{1,2,⋯,n} rj​，j∈1,2,⋯,n即生成第 j j j个目标分类的扰动 残差生成网络...

本文的贡献包括： （1）如何将对抗训练扩展到大型模型和数据集； （2）对抗训练赋予单步攻击算法鲁棒性的原理； （3）发现多步攻击算法的可移植性相比单步攻击算法要差一些，因此单步攻击算法最适合于发动黑盒攻击。 （4）对于“标签泄漏”效应的解决方法。 “标签泄漏”效应即经过对抗训练的模型在对抗样本上的性能要比在原始样本上更好，因为对抗样本生成过程中使用真实标签，并且模型可以学习对抗样本生成过程中的规律性。 在结构相同的情况下，模型能力越强（即参数数量越多）的模型对对抗样本的鲁棒性越好。 不同类型的对抗样本在模型之间具有不同程度的可迁移性。 在对抗训练中训练较多的对抗样本在模型之间迁移的能力...

本文提出了一种防御方法，即由高级特征主导的去噪器 high-level representation guided denoiser(HGD)。 标准去噪器具有误差放大效应，在这种效应中，较小的残留对抗噪声影响会逐渐放大，最终导致错误的分类。HGD通过将损失函数定义为由干净图像和去噪图像激活的目标模型输出之间的差值解决了这个问题。 HGD具有三个优点： HGD可以使目标模型面对对抗攻击更加鲁棒 HGD具有较好的泛化性 HGD效率更高（需要更少的训练数据和训练时间） 由于对抗样本使在原始图像添加特定的扰动，因此一个自然的想法就是对图像进行去噪。降噪模型确实可以在一定程度上减少噪...

本文提出了两种特征压缩方法： 减少每个像素的颜色位深度 使用空间平滑来减少各个像素之间的差异 特征压缩通过将与原始空间中许多不同特征向量相对应的样本合并为单个样本，从而减少了对手可用的搜索空间。通过将DNN模型对原始输入的预测与对压缩输入的预测进行比较，特征压缩可以很好的检测出对抗样本。本方法对于计算资源要求不高，可以与其他防御措施互补，并且可以结合联合检测框架使用。 Our approach, which we call feature squeezing, is driven by the observation that the feature input space...

本文提出了一种防御方法，即将特征可视化与输入修改相结合，适用于不同的预训练的网络。即使输入是对抗性的，“真实”对象的相关信息也会由于神经网络的激活保存完好，因此可以以特征可视化的方式提取相关热图里的信息。然后将这些热图用作防御的基础，通过这种防御方法，对抗效果会因图像的大量模糊而损坏。本文还提供了一种新的评估指标，可以更全面的描述攻击和防御的效果。 Feature Visualization 特征可视化方法的原始目的是更好的解释神经网络。已经提出了几种方法可以找出对神经网络决策有帮助的特征。有三种方法可以达到此目的： 输入修改方法，通过修改输入观察对模型输出的影响。 类激活映射方法...

对抗训练是当前最有效的防御措施，经常被公式化为最小-最大优化问题。 where n is the number of training examples and l l l(·) is the classification loss, such as the commonly used cross-entropy (CE) loss.Recently, adversarial training with adversarial examplesgeneratedbyProjectedGradientDescent(PGD) 内部的最大化用来生成对抗样本，外部最小化用来训练鲁棒的...

MySQL 数据库操作 数据库简介 SQL语言一共分为4大类：数据定义语言DDL，数据操纵语言DML，数据查询语言DQL，数据控制语言DCL。 数据定义语言DDL(Data Definition Language) 数据操纵语言DML(Data Manipulation Language) 数据查询语言DQL(Data Query Language) 数据控制语言DCL(Data Control Language) 数据库操作 数据类型 数值 tinyint 很小的数据 1个字节 smallint 较小的数据 2个字节 mediumi...

python疫情数据爬取与可视化展示 爬虫&正则 requests&Beautiful Soup requests爬取网页(练手) import requests url = 'http://wsjkw.sc.gov.cn/scwsjkw/gzbd/fyzt.shtml' #爬取网页的ＵＲＬ res = requests.get(url) ''' 有些网页采用了一些反爬措施，使用上述代码爬取网页可能会返回403的状态码 可以通过设置header绕过 header格式 header = {'User-Agent': 'Mozilla/5.0 (X1...

ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_...