可迁移对抗攻击
可迁移对抗攻击 是什么?
可迁移对抗攻击在一个机器学习模型上构造的对抗样本同样能欺骗未见过的其他模型,从而无需访问目标模型即可实施黑盒攻击。
可迁移对抗攻击利用了 Papernot、McDaniel 与 Goodfellow 等人系统化的经验现象:在某一模型上生成的对抗样本,往往仍能被使用相似数据训练的其他模型错误分类。攻击者可以在本地训练一个替代模型,使用 FGSM 或 PGD 等白盒方法构造对抗输入,再提交给完全没有内部访问权限的远程黑盒目标。已在图像分类、恶意软件检测、NLP 模型与商用云 API 上验证了这种迁移性。常见防御措施包括针对多样扰动的对抗训练、输入变换、基于集成不一致性的检测器,以及随机平滑等可证明鲁棒性方法。
● 示例
- 01
攻击者在本地训练替代 CNN,构造 FGSM 样本,这些样本也能绕过远程图像审核 API。
- 02
针对开源分类器生成的对抗恶意软件样本,也能绕过多种商用基于机器学习的杀软引擎。
● 常见问题
可迁移对抗攻击 是什么?
在一个机器学习模型上构造的对抗样本同样能欺骗未见过的其他模型,从而无需访问目标模型即可实施黑盒攻击。 它属于网络安全的 AI 与机器学习安全 分类。
可迁移对抗攻击 是什么意思?
在一个机器学习模型上构造的对抗样本同样能欺骗未见过的其他模型,从而无需访问目标模型即可实施黑盒攻击。
可迁移对抗攻击 是如何工作的?
可迁移对抗攻击利用了 Papernot、McDaniel 与 Goodfellow 等人系统化的经验现象:在某一模型上生成的对抗样本,往往仍能被使用相似数据训练的其他模型错误分类。攻击者可以在本地训练一个替代模型,使用 FGSM 或 PGD 等白盒方法构造对抗输入,再提交给完全没有内部访问权限的远程黑盒目标。已在图像分类、恶意软件检测、NLP 模型与商用云 API 上验证了这种迁移性。常见防御措施包括针对多样扰动的对抗训练、输入变换、基于集成不一致性的检测器,以及随机平滑等可证明鲁棒性方法。
如何防御 可迁移对抗攻击?
针对 可迁移对抗攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
可迁移对抗攻击 还有哪些其他名称?
常见的别称包括: 跨模型对抗迁移, 黑盒迁移攻击。