面向纵向联邦学习的对抗样本生成算法

为了适应纵向联邦学习应用中高通信成本、快速模型迭代和数据分散式存储的场景特点,提出了一种通用的纵向联邦学习对抗样本生成算法VFL-GASG。具体而言,构建了一种适用于纵向联邦学习架构的对抗样本生成框架来实现白盒对抗攻击,并在该架构下扩展实现了L-BFGS、FGSM、C&W等不同策略的集中式机器学习对抗样本生成算法。借鉴深度卷积生成对抗网络的反卷积层设计,设计了一种对抗样本生成算法VFL-GASG以解决推理阶段对抗性扰动生成的通用性问题,该算法以本地特征的隐层向量作为先验知识训练生成模型,经由反卷积网络层产生精细的对抗性扰动,并通过判别器和扰动项控制扰动幅度。实验表明,相较于基线算法,所提算法在保持高攻击成功率的同时,在生成效率、鲁棒性和泛化能力上均达到较高水平,并通过实验验证了不同实验设置对对抗攻击效果的影响。     

基于遗传算法的恶意代码对抗样本生成方法

机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。     

基于深度神经网络的对抗样本生成算法及其应用研究综述

随着深度学习理论的迅速发展,基于深度神经网络的各项技术得到了广泛的应用,并且在众多应用领域取得了出乎意料的实践效果。然而,近年来大量研究发现,深度神经网络普遍存在天然缺陷,容易受到对抗样本的威胁,严重影响模型使用的安全性,因此对该领域的研究已经成为深度学习相关领域的热门研究方向。研究对抗样本有利于暴露模型存在的问题进而加以防范,对其应用的挖掘有利于为隐私保护等研究提供新思路。为此首先介绍了对抗样本研究领域中的重要概念和术语,然后按照时间从产生机理的角度梳理该领域研究中的基础算法及后续衍生的进阶算法,接着展示了近年来对抗样本所涉及的具体领域及其应用,最后对该领域进一步的研究方向和应用场景进行了展望。     

基于生成对抗数据增强支持向量机的小样本信号调制识别算法

着眼于解决小样本信号调制识别问题,该文首先研究了利用支持向量机(SVM)进行分类识别的理论可行性;其次根据统计学习理论,对利用生成对抗网络(GAN)生成数据增强支持向量机分类识别能力进行了理论分析;最后通过构建包含层归一化的深度卷积生成对抗网络(LDCGAN),与普通深度卷积生成对抗网络相比,其生成数据映射至高维空间后特征更加明显,更有利于支持向量机的分类,实验验证了该生成对抗网络生成数据可以在小样本条件下实现对支持向量机分类识别能力的有效增强。     

基于掩模提取的SAR图像对抗样本生成方法

合成孔径雷达（synthetic aperture radar,SAR）图像的对抗样本生成在当前已经有很多方法,但仍存在对抗样本扰动量较大、训练不稳定以及对抗样本的质量无法保证等问题。针对上述问题,提出了一种SAR图像对抗样本生成模型,该模型基于AdvGAN模型架构,首先根据SAR图像的特点设计了一种由增强Lee滤波器和最大类间方差法（OTSU）自适应阈值分割等模块组成的掩模提取模块,这种方法产生的扰动量更小,与原始样本的结构相似性（structural similarity,SSIM）值达到0.997以上。其次将改进的相对均值生成对抗网络（relativistic average generative adversarial network,RaGAN）损失引入AdvGAN中,使用相对均值判别器,让判别器在训练中同时依赖于真实数据和生成的数据,提高了训练的稳定性与攻击效果。在MSTAR数据集上与相关方法进行了实验对比,实验表明,此方法生成的SAR图像对抗样本在攻击防御模型时的攻击成功率较传统方法提高了10%～15%。     

基于单词替换的文本对抗样本攻击

生成质量良好的文本对抗样本对研究模型的鲁棒性有着重要意义。现有的单词级的攻击方法搜索到的替换词往往不够有效,对抗样本的质量也就难以达到理想水平。因此在现有的单词替换的方法下,利用知网(CNKI)搜索更高质量的替换词,产生更佳的扰动。实验结果表明,该方法提高了样本的攻击成功率,更贴近原始输入样本。     

针对目标检测的隐蔽式对抗扰动生成方法

针对现有面向目标检测的白盒攻击方法在不可察觉性上的不足,从扰动生成过程与扰动成本的限制两方面,提出一种隐蔽式对抗扰动生成方法(stealthy adversarial perturbation generation, SPG)。该方法首先利用图像的纹理信息,赋予扰动在难以被人眼察觉的高纹理区域更高的权重,然后采用扰动位置选取策略降低修改的像素点数目,最后进行对抗扰动的解耦计算,自适应地搜索具有最佳L₂范数度量的对抗扰动。所提方法以4种主流目标检测器作为攻击对象,在COCO-MS 2014和PASCAL-VOC数据集上与对比方法进行了评估。实验结果表明,本文攻击方法的不可察觉性的度量值优于对比方法,其生成的对抗扰动具有低于0.239的L₀范数和2.9×10^-5以内的L₂范数,同时使得目录检测器的mAP降低至9%以下。     

一种基于二值粒子群优化和支持向量机的目标检测算法

针对复杂场景下目标检测和目标检测中特征选择问题,该文将二值粒子群优化算法(BPSO)用于特征选择,结合支持向量机(SVM)技术提出了一种新颖的基于BPSO-SVM特征选择的自动目标检测算法。该算法将目标检测转化为目标识别问题,采用wrapper特征选择模型,以SVM为分类器,通过样本训练分类器,根据分类结果,利用BPSO算法在特征空间中进行全局搜索,选择最优特征集进行分类。基于BPSO-SVM的特征选择方法降低了特征维数,显著提高了分类器性能。实验结果表明,该文算法不仅有效提高了复杂场景下目标姿态、尺度、光照变化和局部被遮挡时的检测准确率,还大大缩短了检测时间。     

Two-Stream Architecture as a Defense against Adversarial Example

The performance of deep learning on many tasks has been impressive. However, recent studies have shown that deep learning systems are vulnerable to small specifically crafted perturbations imperceptible to humans. Images with such perturbations are called adversarial examples. They have been proven to be an indisputable threat to deep neural networks (DNNs) based applications, but DNNs have yet to be fully elucidated, consequently preventing the development of efficient defenses against adversarial examples. This study proposes a two-stream architecture to protect convolutional neural networks (CNNs) from attacks by adversarial examples. Our model applies the idea of “two-stream” used in the security field. Thus, it successfully defends different kinds of attack methods because of differences in “high-resolution” and “low-resolution” networks in feature extraction. This study experimentally demonstrates that our two-stream architecture is difficult to be defeated with state-of-the-art attacks. Our two-stream architecture is also robust to adversarial examples built by currently known attacking algorithms.     

面向人脸验证的可迁移对抗样本生成方法

在人脸识别模型的人脸验证任务中,传统的对抗攻击方法无法快速生成真实自然的对抗样本,且对单模型的白盒攻击迁移到其他人脸识别模型上时攻击效果欠佳。该文提出一种基于生成对抗网络的可迁移对抗样本生成方法TAdvFace。TAdvFace采用注意力生成器提高面部特征的提取能力,利用高斯滤波操作提高对抗样本的平滑度,并用自动调整策略调节身份判别损失权重,能够根据不同的人脸图像快速地生成高质量可迁移的对抗样本。实验结果表明,TAdvFace通过单模型的白盒训练,生成的对抗样本能够在多种人脸识别模型和商业API模型上都取得较好的攻击效果,拥有较好的迁移性。     

Marginal Attacks of Generating Adversarial Examples for Spam Filtering

Digit information has been used in many areas and has been widely spread in the Internet era because of its convenience.However,many ill-disposed attackers,such as spammers take advantage of such convenience to send unsolicited information,such as advertisements,frauds,and pornographic messages to mislead users and this might cause severe consequences.Although many spam filters have been proposed in detecting spams,they are vulnerable and could be misled by some carefully crafted adversarial examples.In this paper,we propose the marginal attack methods of generating such adversarial examples to fool a naive Bayesian spam filter.Specifically,we propose three methods to select sensitive words from a sentence and add them at the end of the sentence.Through extensive experiments,we show that the generated adversarial examples could largely reduce the filter's detecting accuracy,e.g.by adding only one word,the accuracy could be reduced from 93.6％ to 55.8％.Furthermore,we evaluate the transferability of the generated adversarial examples against other traditional filters such as logic regression,decision tree and linear support vector machine based filters.The evaluation results show that these filters' accuracy is also reduced dramatically;especially,the decision tree based filter's accuracy drops from 100％to 1.51％ by inserting only one word.     

特征加权支持向量机

该文针对现有的加权支持向量机(WSVM)和模糊支持向量机(FSVM)只考虑样本重要性而没有考虑特征重要性对分类结果的影响的缺陷,提出了基于特征加权的支持向量机方法,即特征加权支持向量机(FWSVM)。该方法首先利用信息增益计算各个特征对分类任务的重要度,然后用获得的特征重要度对核函数中的内积和欧氏距离进行加权计算,从而避免了核函数的计算被一些弱相关或不相关的特征所支配。理论分析和数值实验的结果都表明,该方法比传统的SVM具有更好的鲁棒性和分类能力。     

基于模糊核聚类和支持向量机的鲁棒协同推荐算法

该文针对现有推荐算法在面对托攻击时鲁棒性不高的问题,提出一种基于模糊核聚类和支持向量机的鲁棒推荐算法。首先,根据攻击概貌间高度相关的特性,利用模糊核聚类方法在高维特征空间对用户概貌进行聚类,实现攻击概貌的第1阶段检测。然后,利用支持向量机分类器对含有攻击概貌的聚类进行分类,实现攻击概貌的第2阶段检测。最后,基于攻击概貌检测结果,通过构造指示函数排除攻击概貌在推荐过程中产生的影响,并引入矩阵分解技术设计相应的鲁棒协同推荐算法。实验结果表明,与现有的基于矩阵分解模型的推荐算法相比,所提算法不但具有很好的鲁棒性,而且准确性也有提高。     

一种基于粗糙集理论的支持向量机分类算法

粗糙集理论和支持向量机在数据挖掘方面具有较强的互补特性,基于粗糙集理论的上近似集、下近似集和边界域概念,结合支持向量机的分类原理,提出了一种支持向量机分类算法。首先,在支持向量机分类中定义样本分类的粗糙集规则,然后在边界域寻找两类样本中使判别式绝对值取值最小且分类正确的样本来确定最优分类面,脱离了对惩罚系数C的寻优问题,有效避免了过拟合问题,并通过循环迭代算法寻找合适的参数b,获得分类性能更优的支持向量机,最后通过对一个二维样本数据库进行分类实验,验证了此算法的有效性与可行性。     

改进双路径生成对抗网络的红外与可见光图像融合

为了使融合图像保留更多源图像的信息,该文提出一种端到端的双融合路径生成对抗网络(GAN)。首先,在生成器中采用结构相同、参数独立的双路径密集连接网络,构建红外差值路径和可见光差值路径以提高融合图像的对比度,引入通道注意力机制以使网络更聚焦于红外典型目标和可见光纹理细节;其次,将两幅源图像直接输入到网络的每一层,以提取更多的源图像特征信息;最后,考虑损失函数之间的互补,加入差值强度损失函数、差值梯度损失函数和结构相似性损失函数,以获得更具对比度的融合图像。实验表明,与多分类约束的生成对抗网络(GANMcC)、残差融合网络(RFnest)等相关融合算法相比,该方法得到的融合图像不仅在多个评价指标上均取得了最好的效果,而且具有更好的视觉效果,更符合人类视觉感知。