-
题名基于随机平滑的通用黑盒认证防御
- 1
-
-
作者
李瞧
陈晶
张子君
何琨
杜瑞颖
汪欣欣
-
机构
空天信息安全与可信计算教育部重点实验室武汉大学国家网络安全学院
武汉大学日照信息研究院
武汉大学地球空间信息技术协同创新中心
-
出处
《计算机学报》
EI
CAS
CSCD
北大核心
2024年第3期690-702,共13页
-
基金
国家重点研发计划(2022YFB3102100)
国家自然科学基金(62206203,62076187)
+2 种基金
湖北省重点研发计划(2022BAA039)
山东省重点研发计划(2022CXPT055)
武汉市科技计划(2023010302020707)资助.
-
文摘
近年来,基于深度神经网络(DNNs)的图像分类模型在人脸识别、自动驾驶等关键领域得到了广泛应用,并展现出卓越的性能.然而,深度神经网络容易受到对抗样本攻击,从而导致模型错误分类.为此,提升模型自身的鲁棒性已成为一个主要的研究方向.目前大部分的防御方法,特别是经验防御方法,都基于白盒假设,即防御者拥有模型的详细信息,如模型架构和参数等.然而,模型所有者基于隐私保护的考虑不愿意共享模型信息.即使现有的黑盒假设的防御方法,也无法防御所有范数扰动的攻击,缺乏通用性.因此,本文提出了一种适用于黑盒模型的通用认证防御方法.具体而言,本文首先设计了一个基于查询的无数据替代模型生成方案,在无需模型的训练数据与结构等先验知识的情况下,利用查询和零阶优化生成高质量的替代模型,将认证防御场景转化为白盒,确保模型的隐私安全.其次,本文提出了基于白盒替代模型的随机平滑和噪声选择方法,构建了一个能够抵御任意范数扰动攻击的通用认证防御方案.本文通过分析比较原模型和替代模型在白盒认证防御上的性能,确保了替代模型的有效性.相较于现有方法,本文提出的通用黑盒认证防御方案在CIFAR10数据集上的效果取得了显著的提升.实验结果表明,本文方案可以保持与白盒认证防御方法相似的效果.与之前基于黑盒的认证防御方法相比,本文方案在实现了所有L p的认证防御的同时,认证准确率提升了20%以上.此外,本文方案还能有效保护原始模型的隐私,与原始模型相比,本文方案使成员推理攻击的成功率下降了5.48%.
-
关键词
深度神经网络
认证防御
随机平滑
黑盒模型
替代模型
-
Keywords
deep neural networks
certified defense
random smoothing
black-box models
substitute models
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-
