黑盒条件下生成式对抗攻击方法研究

Research on generative adversarial attacks under black-box conditions

下载PDF

导出

摘要在进行图像对抗攻击时,针对目标模型进行的白盒攻击往往效果最佳,但实际中通常难以获取目标模型结构,这使得提高对抗样本的迁移性尤为关键。针对这一问题,提出一种基于生成对抗网络(generative adversarial network,GAN)的训练方法,用以生成具备强迁移性的对抗样本。研究发现,图像本身具有与模型无关的脆弱性,生成式方法正是通过挖掘这一特性进行攻击的。与传统方法在原图邻域内微调不同,该方法从其他类别分布中生成具有最大似然的图像,在视觉上接近真实图像,但能有效误导分类器。训练过程中,生成器生成对抗样本,判别器判断其标签的正确性,二者协同优化,不断提升样本的攻击性与真实度。实验表明,生成式对抗样本在多个模型上的攻击成功率显著高于传统方法,平均提升约25%,展现出更强的跨模型泛化能力。该结果表明生成式对抗攻击不仅提升了黑盒攻击的实用性,也揭示了深度模型普遍存在的脆弱性,为后续防御机制设计提供了方向。 In the context of image adversarial attacks,white-box attacks targeting the target model often yield the best performance.However,in practice,it is usually difficult to obtain the architecture of the target model,which makes improving the transferability of adversarial examples particularly crucial.To address this issue,a training method based on generative adversarial network(GAN)was proposed to generate adversarial examples with strong transferability.The study finds that images themselves possess model-agnostic vulnerabilities,and generative methods implement attacks precisely by exploiting this characteristic.Unlike traditional methods that perform fine-tuning within the neighborhood of the original image,this method generates images with maximum likelihood from the distribution of other categories.These images are visually close to real images but can effectively mislead classifiers.During the training process,the generator produces adversarial examples,while the discriminator judges the correctness of their labels.The two components optimize collaboratively,continuously enhancing the adversarial potency and authenticity of the examples.Experiments show that the attack success rate of generative adversarial examples on multiple models is significantly higher than that of traditional methods,with an average improvement of approximately 25%,demonstrating stronger cross-model generalization ability.This result indicates that generative adversarial attacks not only enhance the practicality of black-box attacks but also reveal the widespread vulnerabilities of deep models,providing directions for the design of subsequent defense mechanisms.

作者张兆阳孙芳慧张明旭宋伟王振邦王英琦张可卿王莘 ZHANG Zhaoyang;SUN Fanghui;ZHANG Mingxu;SONG Wei;WANG Zhenbang;WANG Yingqi;ZHANG Keqing;WANG Shen(School of Cybersecurity,Harbin Institute of Technology,Harbin 150001,China;China Electronics Society,Beijing 100036,China;China Mobile IoT Co.,Ltd.,Chongqing 401336,China;State Grid Heilongjiang Electric Power Co.,Ltd.,Harbin 150090,China)

机构地区哈尔滨工业大学网络空间安全学院中国电子学会中移物联网有限公司国网黑龙江省电力有限公司

出处《信息对抗技术》 2025年第5期1-21,共21页 Information Countermeasure Technology

基金国防基础科研项目(JCKY2023603C043) 黑龙江省重点研发计划项目(2022ZX01C01) 黑龙江省自然科学基金资助项目(LH2024F023)。

关键词生成式对抗攻击模型迁移性黑盒攻击 generative adversarial attack model transferability black-box attack

分类号 TP391 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献6

1赵正平.人工智能大语言模型和AI芯片的新进展(续)[J].微纳电子技术,2025,62(4):1-33. 被引量：7
2鲁思迪,何元恺,施巍松.车计算:自动驾驶时代的新型计算范式[J].计算机研究与发展,2025,62(1):2-21. 被引量：4
3樊琳,龚勋,郑岑洋.基于文本引导下的多模态医学图像分析算法[J].电子学报,2024,52(7):2341-2355. 被引量：6
4王志波,王雪,马菁菁,秦湛,任炬,任奎.面向计算机视觉系统的对抗样本攻击综述[J].计算机学报,2023,46(2):436-468. 被引量：24
5纪守领,杜天宇,邓水光,程鹏,时杰,杨珉,李博.深度学习模型鲁棒性研究综述[J].计算机学报,2022,45(1):190-206. 被引量：60
6陶卿,高乾坤,姜纪远,储德军.稀疏学习优化问题的求解综述[J].软件学报,2013,24(11):2498-2507. 被引量：26

二级参考文献67

1金震东,刘枫.浅谈超声内镜的诊断标准及操作规范[J].临床消化病杂志,2006,18(3):132-134. 被引量：1
2Vapnik VN. Statistical Learning Theory. New York: Wiley-Interscience, 1998.
3Zhang T. Statistical behavior and consistency of classification methods based on convex risk minimization. Annals of Statistics, 2004,32(l):56-85. [doi: 10.1214/aos/1079120130].
4Zhang T. Statistical analysis of some multi-category large margin classification methods. Journal of Machine Learning Research, 2004,5:1225-1251.
5Wang J, Tao Q. Machine learning: The state of the art. IEEE Intelligent Systems, 2008,23(6):49-55. [doi: 10.1109/MIS.2008.107].
6Bennett KP, Parrado-Hemandez E. The interplay of optimization and machine learning research. Journal of Machine Learning Research, 2006,7:1265-1281.
7Tibshirani R. Regression shrinkage and selection via the lasso. Journal of Royal Statistical Society (Series B), 1996,58(l):267-288.
8Nesterov Y. Primal-Dual subgradient methods for convex problems. Mathematical Programming, 2009,120(l):221-259. [doi: 10. 1007/sl0107-007-0149-x].
9Bertsekas DP, Nedic A, Ozdaglar AE. Convex Analysis and Optimization. Belmont: Athena Scientific, 2003.
10Zinkevich M. Online convex programming and generalized infinitesimal gradient ascent. In: Proc. of the Int’l Conf. on Machine Learning. 2003. 928-936.

共引文献118

1邵言剑,陶卿,姜纪远,周柏.一种求解强凸优化问题的最优随机算法[J].软件学报,2014,25(9):2160-2171. 被引量：12
2姜纪远,夏良,章显,陶卿.一种具有O(1/T)收敛速率的稀疏随机算法[J].计算机研究与发展,2014,51(9):1901-1910. 被引量：3
3刘建伟,崔立鹏,刘泽宇,罗雄麟.正则化稀疏模型[J].计算机学报,2015,38(7):1307-1325. 被引量：71
4周柏,陶卿,储德军.基于随机步长具有最优瞬时收敛速率的稀疏随机优化算法[J].模式识别与人工智能,2015,28(10):876-885. 被引量：1
5易磊,潘志松,邱俊洋,薛胶,任会峰.在线学习的大规模网络流量分类研究[J].智能系统学报,2016,11(3):318-327. 被引量：3
6刘建伟,崔立鹏,罗雄麟.概率图模型的稀疏化学习[J].计算机学报,2016,39(8):1597-1611. 被引量：4
7徐金东,牟春晓,范宝德,张艳洁,童向荣,倪梦莹.图像的多尺度稀疏分解及其在遥感图像融合上的应用[J].烟台大学学报（自然科学与工程版）,2017,30(1):48-54. 被引量：5
8陶卿,马坡,张梦晗,陶蔚.机器学习随机优化方法的个体收敛性研究综述[J].数据采集与处理,2017,32(1):17-25. 被引量：7
9彭艺,董智超.基于竞价机制的认知无线蜂窝网D2D功率分配方法[J].计算机工程,2017,34(5):88-91. 被引量：2
10田猛,王先培,董政呈,朱国威,代荡荡,赵乐.基于拉格朗日乘子法的虚假数据攻击策略[J].电力系统自动化,2017,41(11):26-32. 被引量：18

1薛慧英,张华,徐少飞.探究大学生攻击行为与人际交往困扰、自尊、自我接纳的关系[J].心理月刊,2025,20(17):130-132.
2郭晨琪,李俊辰,张秀君,王艳.肠道菌群与银屑病的因果关联:一项两样本双向孟德尔随机化研究[J].华西医学,2025,40(8):1276-1282.
3吴爽,邢里程,朱英琳.基于频域增强与通道注意力的深伪图像检测方法研究[J].信息与电脑,2025,37(19):4-6.
4王逸蓓,王芳.基于熵优化的TF-IDF算法研究[J].燕山大学学报,2025,49(5):422-428.
5何祖缘,赵佩仪,邓宗永,周思蕊,赵启军.基于自适应增量学习的人脸融合攻击检测[J].四川大学学报(自然科学版),2025,62(5):1109-1126.
6王宇.从《莫瑞·桑德斯报告》看二战后美军对七三一部队的首次调查[J].北方文物,2025(4):104-112.
7张晖,李莉,杨雨薇.多类型噪声条件下的二维激光图像复原研究[J].激光杂志,2025,46(9):94-99.
8许佳诺,邵伟,张道强.基于局部属性生成对抗网络的目标检测对抗攻击算法[J].模式识别与人工智能,2025,38(8):727-739.
9金炜曦.基于YOLOv11的岩心识别与编录后处理算法实现[J].计算机技术与发展,2025,35(10):214-220.
10王卓,方鸣骐,于灵云,谢洪涛.基于概念提示微调的生成图像检测[J].信息对抗技术,2025,4(5):54-65.

信息对抗技术

2025年第5期

浏览历史

内容加载中请稍等...

黑盒条件下生成式对抗攻击方法研究

参考文献6

二级参考文献67

共引文献118

相关作者

相关机构

相关主题

浏览历史