基于潜在数据挖掘的小样本数据库对抗攻击防御算法

为了降低小样本数据库欺骗率,提升小样本数据库的攻击防御效果,设计了一种基于潜在数据挖掘的小样本数据库对抗攻击的防御算法(潜在数据挖掘的防御算法).采用改进的Apriori算法,通过频繁属性值集的工作过程获取准确的强关联规则优势,并从小样本数据库中挖掘潜在数据对抗攻击,同时优化候选集寻找频繁集的过程,然后利用关联分析检测对抗攻击,并通过可信度调度控制访问速率来防止产生恶意会话,实现小样本数据库对抗攻击防御.实验结果表明,潜在数据挖掘的防御算法可有效防御小样本数据库遭受的多种类型攻击,降低攻击产生的数据库欺骗率,保障小样本数据库服务器利用率的稳定性.     

人工智能对抗攻击研究综述

随着人工智能的广泛应用,人工智能安全也开始引起人们的关注,其中人工智能对抗攻击已经成为人工智能安全研究热点.为此,介绍了对抗攻击的概念和产生对抗样本的原因,主要因为模型判断边界与真实系统边界的不一致导致对抗空间的存在;论述了几种经典生成对抗样本的方法,包括快速梯度和雅克比映射攻击,对抗攻击的主要思路是寻找模型梯度变化最快方向,按这个方向加入扰动从而导致模型误判;论述了检测对抗攻击的方法和对抗攻击的防御方法,并提出未来的一些研究方向.     

PIDI-FGSM:一种对抗样本生成的梯度处理新方法

深度神经网络在多种模式识别任务上均取得卓越表现,然而相关研究表明深度神经网络非常脆弱,极易受到对抗样本的攻击。且人眼不易察觉的对抗样本还具有迁移性,即针对某个模型生成的对抗样本能够使得其他不同的深度模型也产生误判。主要研究提升对抗样本的迁移性,提出了基于PID控制优化器的快速梯度符号方法（PIDI-FGSM）,用于替代原有的基于动量优化器生成方法（MI-FGSM）。不同于MI-FGSM只累加一阶动量项,PIDI-FGSM同时考虑当前梯度、一阶动量项和一阶微分动量项。此外,PIDI-FGSM经过相应变化后,可与现有其他对抗样本生成方法相结合,在不需要额外运行时间和运算资源的情况下大大提高了对抗样本对于黑盒防御模型的攻击成功率。在ImageNet数据集上的实验表明,结合了PIDI-FGSM的对抗样本生成方法能够更快速地生成攻击成功率更高的对抗样本。通过提出最强攻击组合NI-TI-DI-PIDM2,对6个经典黑盒防御模型的平均攻击达到87.4%的成功率,比现有的动量方法提高3.8%,对3个较为先进的黑盒防御模型的平均攻击达到80.0%的成功率,比现有的动量方法提高4.9%。     

基于生成对抗网络的医学诊断模型知识蒸馏对抗攻击方法

为了提高医学诊断模型防御攻击的能力,提出了一种基于生成对抗网络的医学诊断模型知识蒸馏对抗攻击方法。首先创建医学对抗攻击端到端训练网络,并以残差网络作为对抗网络架构;其次在生成器特征块中融合扩张卷积块和通道注意力机制,采用马尔可夫判别器改进判别器网络结构;最后利用生成器和判别器组建生成对抗网络,使用对抗样本进行知识蒸馏对抗攻击,以训练医学诊断模型提高识别精度。采用对抗样本对所提对抗方法进行攻击验证,结果表明：本文方法对抗攻击的成功率为92.6%,与所对比的主流方法相比,该方法的成功率提高了20%,生成对抗样本的最大平均差异降低了3.68%,峰值信噪比、结构相似性分别提升了5.07%、20.29%。本文方法解决了医学诊断模型在对抗攻击中难以获取网络结构和参数信息的问题,生成的对抗样本更接近真实样本,网络效果更佳,为辅助医疗模型诊断及模型安全性提供了参考方案。     

基于k-WTA的对抗样本防御模型研究

为提高图像分类神经网络的鲁棒性,提出一种基于k-WTA的对抗样本防御模型Att-k-DefGAN.模型在Rob-GAN的基础上做出改进,并利用k-WTA激活函数的不连续性与模型训练中的对抗攻击预处理形成对抗,进一步提高分类神经网络的鲁棒性.实验结果表明,在CIFAR-10数据集和ImageNet子集上,Att-k-De...     

基于可逆网络的对抗样本防御算法的设计与研究

深度学习模型极容易受到对抗样本的攻击。为了提高模型的鲁棒性，提升相关技术在现实生活中应用的安全性，提出一种轻型可逆网络(lightweight reversible network, LRNet)用于有效去除对抗样本中的对抗扰动。首先，将哈尔小波变换与可逆网络相结合，获得更丰富的特征；其次，将特征通道分离，利用干净样本的高低频特征指导学习，从随机数中重采样替换高频信息去除对抗扰动；再次，提出特征分离模块，去除非鲁棒特征，提高分类准确率。结果表明：LRNet防御模型能显著提高防御准确率，其分类准确率在MNIST,CIFAR-10数据集上较防御模型ARN分别从91.62%和67.29%提升到97.65%和78.55%;模型的参数大小降低至0.48 MiB,是APE-GAN模型的20%;防御模型的迁移能力得到极大提高，为对抗样本的防御提供了一种新方法。     

基于局部对抗训练的命名实体识别方法研究

命名实体识别研究中,数据集内普遍存在实体与非实体,实体内部类别间边界样本混淆的问题,极大地影响了命名实体识别方法的性能.提出以BiLSTM-CRF为基线模型,结合困难样本筛选与目标攻击对抗训练的命名实体识别方法.该方法筛选出包含大量边界样本的困难样本,利用边界样本易被扰动偏离正确类别的特性,采用按照混淆矩阵错误概率分布的目标攻击方法,生成对抗样本用于对抗训练,增强模型对混淆边界样本的识别能力.为验证该方法的优越性,设计非目标攻击方式的全局、局部对抗训练方法与目标攻击全局对抗训练方法作为对比实验.实验结果表明,该方法提高了对抗样本质量,保留了对抗训练的优势,在JNLPBA、MalwareTextDB、Drugbank三个数据集上F1值分别提升1.34%、6.03%、3.65%.     

基于防御蒸馏和联邦学习的安全深度神经网络研究

联邦学习(federated learning, FL)由谷歌于2016年提出的多方协作的机器学习方案,而深度神经网络(deep neural network, DNN)算法已经被证明在联邦学习中拥有很好的效果.然而,最近的研究表明,和其他机器学习技术一样,DNN也容易受到对抗样本的攻击.这种攻击严重的威胁了DNN所支持的系统的安全性,有些情况下可能会带来灾难性的后果.将DNN与防御蒸馏和联邦学习相结合,来降低对抗样本在DNN中的作用并保护用户的隐私安全,并使用稀疏三元(sparse ternary compression, STC)算法来减少在联邦学习中训练的通信开销.实验表明,与不使用STC的方案相比,使用STC的该方案在保证系统和数据安全的情况下,极大地减小了通信开销.     

基于多频谱特征的音频对抗样本检测方法

音频对抗样本技术是一种通过在音频中添加微小扰动信号来达到特殊目标的技术,该技术甚至可以改变现代自动语音识别系统（ASR）的识别结果,可对语音识别系统造成安全威胁。因此,如何检测音频对抗样本,是一个紧迫的研究课题。现有的音频对抗样本检测方法的检测准确率还有提高的空间,并且缺乏对音频对抗样本特征的研究,在文中,基于音频对抗样本的时域特征和频域特征,提出了一个基于多频谱的检测器来解决音频对抗样本检测的问题。与已有的方法相比,所提出的方法在白盒攻击方法和黑盒攻击方法下生成的短音频对抗样本的检测精度上得到提升,特别是在受到关键词篡改的攻击下,检测精度提高了30%以上。     

针对车载环境感知系统的对抗样本生成方法

针对车载环境感知场景中的目标检测系统,提出了一种针对目标检测器的对抗样本生成方法。该方法能够实现对目标检测器的白盒对抗攻击,包括目标隐身攻击和目标定向攻击。在Rail数据集和Cityscapes数据集中进行测试,测试结果验证了所提方法对YOLO目标检测器对抗攻击的有效性。     

基于非零和博弈的多路径组合攻击防御决策方法

针对网络攻防中多路径组合攻击的防御策略问题,根据网络中多攻击路径对抗的非合作及双方收益的特点,提出了一种基于非零和博弈的防御策略选取方法。首先,根据网络攻防的实际资源受限定义了攻击成本、惩罚因子、防御代价等参数,并对攻防双方的收益计算方法进行了优化;其次,基于多路径组合攻击过程,构建了非零和动态博弈模型,并计算出相应的攻防效益矩阵;最后,利用纳什均衡原理得出攻击者的最佳攻击效用,以及防御者的最优策略。该策略在多条攻击路径并存的威胁下,能够选择出防御效果最优的策略进行安全加固及防护。仿真实验验证了本文所提出方法的有效性,并分析了实际资源受限下攻击成本、惩罚因子、防御代价等参数设置对防御策略选取的影响。     

基于生成对抗网络的恶意网络流生成及验证

针对基于深度学习的分类器面对对抗样本时缺乏稳定性的问题,基于生成对抗网络(GAN)提出了一种新的模型,用于生成对抗样本。该模型首次实现了直接以恶意网络流为原始样本的对抗样本生成,并首次提出了弱相关位的概念,用于保证恶意网络流对抗样本的可执行性和攻击性。利用该模型生成的对抗样本能够有效地欺骗基于深度学习的网络安全检测器,且通过实验验证了该对抗样本具有实际攻击效果。     

一种主动防御UDP Flood攻击的机制

在传统防御UDPFlood攻击的基础上研究新的处理过程,提出了一种主动防御UDPFlood攻击的机制.该机制主要通过攻击防御前的数据包特征检查及未验证表和已验证表的调用进行攻击防御.测试表明,该机制能在保证正常网络通信情况下,实现对攻击包的拦截,有效防御UDPFlood攻击.     

基于改进深度卷积生成对抗网络的入侵检测方法研究

针对入侵检测系统因采用的网络攻击样本具有不平衡性而导致检测结果出现较大偏差的问题,文章提出一种将改进后的深度卷积生成对抗网络(DCGAN)与深度神经网络(DNN)相结合的入侵检测模型(DCGAN-DNN),深度卷积生成对抗网络能够通过学习已知攻击样本数据的内在特征分布生成新的攻击样本,并对深度卷积生成对抗网络中生成网络所用的线性整流(ReLU)激活函数作出改进,改善了均值偏移和神经元坏死的问题,提升了训练稳定性。使用CIC-IDS-2017数据集作为实验样本对模型进行评估,与传统的过采样方法相比DCGAN-DNN入侵检测模型对于未知攻击和少数攻击类型具有较高检测率。     

攻击标签信息的对抗分类算法

真实数据集中存在的对抗样本一方面易导致分类器取得较差分类结果，另一方面如果能够被合理利用，分类器的泛化能力将得到显著提高。针对现有大部分分类算法并没有利用对抗样本训练分类模型，提出一种攻击标签信息的对抗分类算法（ACA）。该方法从给定数据集中选取一定比例样本并攻击所选取的样本标签使之成为对抗样本，即将样本标签替换成其他不同类型的标签。利用支持向量机（support vector machine，SVM）训练包含对抗样本的数据集，计算生成的SVM输出误差对于输入样本的一阶梯度信息并嵌入到输入样本特征中以更新输入样本。再次利用SVM训练更新后的样本以生成对抗的SVM（A-SVM）。原理分析与实验结果表明，一阶梯度信息不仅提供了一种分类器输出与输入之间的正相关关系，而且可提高A-SVM的实际分类性能     

多模态情感分析模型对抗攻击评估与防御方法

为系统探究多模态情感分析模型在对抗攻击下的鲁棒性,采用3种经典对抗攻击方法(快速梯度符号方法、投影梯度下降和动量迭代快速梯度符号方法)、2种模态数据输入(视觉和语音)和4种不同的数据特征融合方法(特征相加、特征拼接、多模态低秩双线性和多模态Tucker融合),对比各种组合下模型的性能表现,研究影响多模态情感分析模型鲁棒性的内在因素．提出一种基于互信息最大化的多模态防御方法,通过减少输入模态特征中的冗余信息提升模型鲁棒性．研究结果表明：在非线性特征融合及双模态数据输入组合下,模型抵御对抗攻击效果最佳;在应用互信息最大化防御方法后,模型性能及抵御攻击能力均可得到有效提升．     

主动防御技术的应用研究

目前的网络安全防御行为是一种被动式的反应行为，而且，防御技术的发展速度也没有攻击技术发展得那么快．为了提高网络安全防御能力，使网络安全防护系统在攻击与防护的对抗中占据主动地位，在网络安全防护系统中，除了使用被动型安全工具（防火墙、漏洞扫描等）外，也需要采用主动型安全防护措施．     

二分类判别网络的对抗样本检测

在原始图像数据集中,添加特殊的细微扰动能形成对抗样本,经这类样本攻击的深度神经网络等模型可能以高置信度给出错误输出,然而当前大部分检测对抗样本的方法有许多前提条件,限制了其检测能力.针对这一问题,该文提出一个二分类判别网络模型,通过多层卷积神经网络来提取样本数据的主要特征;应用特殊的判别目标函数,结合不同程度的噪声数据...     

基于图像去噪和图像生成的对抗样本检测方法

针对现有对抗样本检测方法存在检测准确率低和训练收敛速度慢等问题,提出一种基于图像去噪技术和图像生成技术实现的对抗样本检测方法.该检测方法将对抗样本检测问题转换为图像分类问题,无须事先得知被攻击模型的结构和参数,仅使用图像的语义信息和分类标签信息即可判定图像是否为对抗样本.首先,采用基于swin-transformer和vision-transformer实现的移动窗口式掩码自编码器去除图像中的对抗性噪声,还原图像的语义信息.然后,使用基于带有梯度惩罚的条件生成式对抗网络实现的图像生成部分根据图像分类标签信息生成图像.最后,将前两阶段输出的图像输入卷积神经网络进行分类,通过对比完成去噪的图像和生成图像的分类结果一致性判定检测图像是否为对抗样本.在MNIST、GTSRB和CIAFAR-10数据集上的实验结果表明,相比于传统检测方法,本文提出的对抗样本检测方法的平均检测准确率提高6%~36%,F1分数提高6%~37%,训练收敛耗时缩减27%~83%,存在一定优势.     

基于随机梯度上升和球面投影的通用对抗攻击方法

在面向样本集的通用对抗攻击中，导致多数样本输出错误的通用扰动设计是研究关键.本文以典型卷积神经网络为研究对象，对现有通用扰动生成算法进行总结，提出采用批量随机梯度上升训练策略和球面投影搜索策略相结合的通用扰动生成算法.算法的每次迭代计算，首先从样本集中抽取小批量样本，采用随机梯度上升策略计算出使损失函数值下降的通用对抗扰动，然后将通用扰动投影到半径为ε的高维球面上，从而缩小通用扰动的搜索空间.算法还引入了正则化技术以改善通用扰动的生成质量.实验结果证明该算法与基线算法对比，攻击成功率显著提升，通用扰动的求解效率提高约30倍.