CN116418502A - 一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 - Google Patents
一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 Download PDFInfo
- Publication number
- CN116418502A CN116418502A CN202310385519.5A CN202310385519A CN116418502A CN 116418502 A CN116418502 A CN 116418502A CN 202310385519 A CN202310385519 A CN 202310385519A CN 116418502 A CN116418502 A CN 116418502A
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- sample
- neural networks
- countermeasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000010363 phase shift Effects 0.000 title abstract description 3
- 238000013528 artificial neural network Methods 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims abstract description 7
- 230000006870 function Effects 0.000 claims description 30
- 238000012549 training Methods 0.000 claims description 27
- 230000008485 antagonism Effects 0.000 claims description 26
- 238000011478 gradient descent method Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 3
- 238000004088 simulation Methods 0.000 abstract description 3
- 238000010801 machine learning Methods 0.000 description 21
- 239000010410 layer Substances 0.000 description 18
- 238000012360 testing method Methods 0.000 description 5
- 230000003042 antagnostic effect Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000013508 migration Methods 0.000 description 3
- 230000005012 migration Effects 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/094—Adversarial learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Evolutionary Computation (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Electromagnetism (AREA)
- Image Analysis (AREA)
- Character Discrimination (AREA)
Abstract
本发明公开了一种基于FGSM对抗性扰动的量子密钥分发系统攻击方法。所述方法包括量子密钥分发系统(QKD)仿真数据处理,将原始QKD数据输入对抗式生成网络进行处理,获得对抗性扰动数据,接着将原始数据和对抗性扰动数据同时进行识别分类,得到分类A和分类B。若A=B,则攻击不成功,收集数据,更新对抗式生成网络。否则,攻击成功。该方法的模型特征在于:构造若干种适用于不同的开源图像识别算法的神经网络,任一神经网络包括若干层神经网络和/或若干卷积层,任一卷积层包括一种或多种卷积核尺寸。如此,实现一种基于FGSM对抗性扰动的量子密钥分发系统攻击方法。
Description
技术领域
本发明涉及基于特定计算模型的计算机系统的技术领域,特别涉及一种高效、适用性广、可迁移且安全的基于算法对抗性攻击的量子密钥分发系统攻击方法。
背景技术
机器学习是专门研究计算机怎样模拟或实现人类的学习行为以获取新的知识或技能、重新组织已有的知识结构使之不断改善自身性能的学习模式,其是人工智能的核心,是使计算机具有智能的根本途径,其应用遍及人工智能的各个领域。
随着机器学习应用广泛深入各类领域,机器学习算法本身的安全性问题也对维护互联网安全有着至关重要的影响,如在在图像识别领域中人脸识别出错,亦或是自动驾驶时对路标识别出错,都有可能造成严重的危害。对抗性攻击正是一种针对机器学习算法本身的攻击手段,通过生成与原图相似的对抗性图片,混淆机器学习算法的分类结果,从而达到攻击的目的;通过对对抗性攻击的研究,可以进一步优化机器学习算法和数据处理手段,从而提高机器学习算法和其应用的安全性。
目前,对机器学习采用的攻击方法包括在训练集中加入混淆数据的方式,通过干扰机器学习模型的训练过程,使机器学习模型出现更多错误预测,但此方法存在适用性低的缺陷,攻击者一般无法获得并干扰目标模型算法的训练集来源,一般只适用于实验环境;除此之外,目前的对抗性攻击方法还采用针对白盒模型的损失函数的梯度下降法来生成对抗性样本,这种方法存在生成速率慢、需要数万次模型请求、图像鲁棒性低、无法适应黑盒的图像分类模型且难以迁移的问题。
整体来说,现有技术中仍未有一种对抗性攻击方法能适用于所有机器学习算法,并在黑盒测试中保持较高的攻击成功率。
发明内容
本发明解决了现有技术中,未有一种对抗性攻击方法能适用于所有机器学习算法、并在黑盒测试中保持较高的攻击成功率的问题,本发明提供了一种优化的基于算法对抗性攻击的量子通信系统攻击方法。
本发明所采用的技术方案是,一种基于FGSM算法对抗性攻击的量子密钥系统攻击方法,所述方法包括以下步骤:
步骤1:确认需要被进行识别攻击的原始数据,通过仿真生成;
步骤2:将原始数据输入对抗式生成网络进行处理,获得对抗性样本;
步骤3:将原始样本和对抗性样本同时进行图像识别分类,得到分类A和分类B;
步骤4:若A=B,则攻击不成功,收集数据,更新对抗式生成网络,返回步骤1,否则,攻击成功。
优选地,所述步骤2中,组建对抗式生成网络包括以下步骤:
步骤2.1:收集开源数据识别算法,在本地构建能适用所述开源图像识别算法的图像分类系统;
步骤2.2:收集训练集;
步骤2.3:确定神经网络的构造;
步骤2.4:确定损失函数及其比例;
步骤2.5:以梯度下降法训练任一神经网络内部参数;
步骤2.6:得到若干对抗式生成网络。
优选地,所述步骤2.3中,构造若干种适用于不同的开源图像识别算法的神经网络,任一神经网络包括若干层神经网络和/或若干卷积层,任一卷积层包括1种或多种卷积核尺寸。
优选地,所述步骤2.4中,损失函数包括对抗性样本与原样本之间的差值函数及对抗性样本的分类结果与原数据分类结果之间的差值函数。
优选地,所述步骤2.4中,将训练集的图像输入步骤2.3构造的若干种适用于不同的开源图像识别算法的神经网络,得到任一神经网络的对抗性样本;得到损失函数并调节2个损失函数间的比例,得到使得对抗性样本与对应的训练集的样本区别最小且分类区别最大的若干神经网络及对应的损失函数、比例,确定为适用于不同的开源数据识别算法的神经网络的构造。此处对抗性攻击采用FGSM方法生成。
本发明提供了一种优化的基于FGSM算法对抗性攻击的量子通信系统攻击方法,通过将需要被进行识别攻击的原始数据输入对抗式生成网络进行处理,获得对抗性样本,将原始样本和对抗性样本同时进行数据集识别分类,对得到的分类进行比较,若分类相同则攻击不成功,收集数据并更新对抗式生成网络,否则攻击成功。本发明能攻击现有的QKD识别算法,通过生成对抗性样本,使算法无法进行正常的QKD识别,从而影响人脸识别、图像检测、自动驾驶等领域的功能应用,适用性广;构建对抗式生成网络,一旦训练完成,之后所生成的对抗性样本均不需要依赖于目标模型的接触和大量的数值运算,具有高效、可迁移的特点;进一步来说,研究机器学习的对抗性攻击有益于优化机器学习算法和数据处理手段,从而提高机器学习算法和其应用的安全性。
附图说明
图1为本发明的流程图;
图2为本发明中组建对抗式生成网络的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于FGSM算法对抗性攻击的QKD数据攻击方法,构建一个对抗机器学习分类的对抗式生成网络,对抗式生成网络生成的对抗性样本能混淆QKD系统中的攻击识别算法的分类结果,生成与原图相近的对抗性样本来使QKD识别网络出错。
本发明中,对抗性攻击是指在机器学习算法特别是神经网络中,由于内部的复杂性,无法完全杜绝安全问题,因而通过对输入样本增加细微扰动,最终可以较大程度的影响模型分类的输出,而生成这种特定的细微扰动所采用的方法为构建一个与目标模型对应的神经网络,通过训练此神经网络使其对输入样本能自动生成细微扰动从而对抗目标模型。
所述方法包括以下步骤。
步骤1:确认需要被进行识别攻击的原始数据。
步骤2:将原始数据输入对抗式生成网络进行处理,获得对抗性样本。
所述步骤2中,组建对抗式生成网络包括以下步骤。
步骤2.1:收集开源数据识别算法,在本地构建能适用所述开源数据识别算法的QKD数据分类系统。
本发明中,用于QKD攻击防御,图像检测、分类的机器学习算法,通常基于卷积神经网络CNN,包括RCNN、AlexNet、VGGNet、ResNet等多种结构。
本发明中,大量的QKD数据识别算法为对抗性攻击的迁移训练提供了模型的储备,且有助于提高对抗式生成网络的迁移性和鲁棒性。
步骤2.2:收集QKD系统仿真训练集。
本发明中,训练集由仿真的QKD系统产生,用于对抗式生成网络进行训练,准确、清晰的训练集样本能使训练的神经网络更具有普适性和对抗性。
步骤2.3:确定神经网络的构造。
所述步骤2.3中,构造若干种适用于不同的开源数据样本识别算法的神经网络,任一神经网络包括若干层神经网络和/或若干卷积层,任一卷积层包括1种或多种卷积核尺寸。
步骤2.4:确定损失函数及其比例。
所述步骤2.4中,损失函数包括对抗性样本数据与原QKD数据之间的差值函数及对抗性样本的分类结果与原数据分类结果之间的差值函数。
所述步骤2.4中,将训练集的数据样本输入步骤2.3构造的若干种适用于不同的QKD数据识别算法的神经网络,得到任一神经网络的对抗性样本;得到损失函数并调节2个损失函数间的比例,得到使得对抗性数据与对应的训练集的样本区别最小且分类区别最大的若干神经网络及对应的损失函数、比例,确定为适用于不同的QKD攻击识别算法的神经网络的构造。此处对抗性攻击采用FGSM方法生成。
本发明中,神经网络层数、卷积核大小等结构的差异均可能影响对抗式生成网络的训练速度和最终的对抗效果,更多层数的神经网络使参数大量增加,会导致训练速度的下降,而更少的层数则会影响神经网络本身的复杂性和适应性,使最终的对抗效果减弱,因此,神经网络的构造并非固定,确定一个训练快速又表现优异的神经网络需要构建实验与测试,同时,对抗不同的算法模型,不同的神经网络结构也会导致对抗性结果之间的差异。
本发明中,选择最优的对抗神经网络需要进行大量的实验与测试,针对每一个QKD攻击识别算法,不同结构的对抗生成网络都会表现不同,对抗结构单一的图像识别算法,可构建单层全连接层、双层全连阶层、2层3*3卷积层的神经网络分别训练。
本发明中,基于此,神经网络的构造并非固定的,而是可以通过优化神经网络的构造来达到对不同算法模型进行对抗的目的。举例来说,对于对抗结构单一、样本像素点少的图像识别算法,神经网络可以采取两层全连接(fc->fc->image)的方法进行训练,而对于对抗结构复杂、样本像素点多的图像识别算法,神经网络则需要采取多层卷积和逆卷积结合的方法,如以3*3为卷积核、创建3层卷积层(3*3conv->3*3conv->3*3conv->fc->image)的方法进行训练。
本发明中,损失函数的作用是训练神经网络的内部参数,使得构建的对抗式生成网络旨在生成与原图近似的对抗性样本数据,同时,此QKD数据的分类结果又完全不同于原数据。
本发明中,由于对抗性样本与原样本之间的差值函数及对抗性图片的分类结果与原图分类结果之间的差值函数并不在同一量级,因此,需要确定两者之间的比例以平衡神经网络在这两方面上的倾向性,通过这两个损失函数所训练的神经网络能够找到数据上趋近与原数据但分类结果上又与原数据样本完全相反的对抗性样本。举例来说,可以随机选择两个损失函数之间的比例,作为实验的过程,如以0.01、0.005、0.0001分别进行训练测试,直至得到结果最优的对抗生成网络,以使得对抗性图像与对应的训练集的图像区别最小且分类区别最大的若干神经网络及对应的损失函数、比例,确定为适用于不同的开源图像识别算法的神经网络的构造。此为本领域技术人员容易理解的内容,本领域技术人员可以根据训练结果主动调节2个损失函数之间的比例。
步骤2.5:以随机梯度下降法(FGSM)训练神经网络内部参数。
本发明中,随机梯度下降法(FGSM)是一种优化算法,能帮助神经网络最快的找到参数调整的方向。针对损失函数,通过梯度下降法训练神经网络参数,能够得到本发明所需要的对抗式生成网络,从而高效、准确的产生对抗性样本,达到攻击图像识别算法的目的。
步骤2.6:得到对抗式生成网络。
本发明中,通过该对抗式生成网络能快速且准确的生成对抗性样本,且不用再次接触目标算法模型。
步骤3:将原始数据和对抗性数据同时进行图像识别分类,得到分类A和分类B。
步骤4:若A=B,则攻击不成功,收集数据,更新对抗式生成网络,返回步骤1,否则,攻击成功。
本发明通过将需要被进行识别攻击的原始数据输入对抗式生成网络进行处理,获得对抗性样本数据,将原始样本和对抗性样本进行CVQKD攻击识别分类,对得到的分类进行比较,若分类相同则攻击不成功,收集数据并更新对抗式生成网络,否则攻击成功。本发明能攻击现有的识别算法,通过生成对抗性样本,使算法无法进行正常的数据识别,从而影响人脸识别、图像检测、自动驾驶等领域的功能应用,适用性广;构建对抗式生成网络,一旦训练完成,之后所生成的对抗性样本均不需要依赖于目标模型的接触和大量的数值运算,具有高效、可迁移的特点;进一步来说,研究机器学习的对抗性攻击有益于优化机器学习算法和数据处理手段,从而提高机器学习算法和其应用的安全性。
Claims (2)
1.一种基于FGSM对抗性扰动的量子密钥分发系统攻击方法,其特征在于:所述方法包括以下步骤:
步骤1:确认需要被进行识别攻击的原始量子通信数据;
步骤2:将原始数据输入对抗式生成网络进行处理,获得对抗性数据样本;组建对抗式生成网络包括以下步骤:
步骤2.1:收集开源样本识别算法,在本地构建能适用所述开源样本识别算法的数据攻击分类系统;
步骤2.2:收集训练集;
步骤2.3:确定神经网络的构造;
步骤2.4:确定损失函数及其比例;将训练集的图像输入步骤2.3构造的若干种适用于不同的开源图像识别算法的神经网络,得到任一神经网络的对抗性样本;得到包括对抗性样本与原数据之间的差值函数及对抗性样本的分类结果与原数据分类结果之间的差值函数的损失函数,调节2个损失函数间的比例,得到使得对抗性样本与对应的训练集的数据区别最小且分类区别最大的若干神经网络及对应的损失函数、比例,确定为适用于不同的开源样本数据识别算法的神经网络的构造;
步骤2.5:以梯度下降法训练任一神经网络内部参数;
步骤2.6:得到若干对抗式生成网络;
步骤3:将原始样本和对抗性样本同时进行样本识别分类,得到分类A和B
步骤4:若A=B,则攻击不成功,收集数据,更新对抗式生成网络,返回步骤1,否则,攻击成功。
2.根据权利要求1所述的一种基于算法对抗性攻击的图像识别攻击方法,其特征在于:所述步骤2.3中,构造若干种适用于不同的开源图像识别算法的神经网络,任一神经网络包括若干层神经网络和/或若干卷积层,任一卷积层包括1种或多种卷积核尺寸。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310385519.5A CN116418502A (zh) | 2023-04-12 | 2023-04-12 | 一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310385519.5A CN116418502A (zh) | 2023-04-12 | 2023-04-12 | 一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116418502A true CN116418502A (zh) | 2023-07-11 |
Family
ID=87054356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310385519.5A Pending CN116418502A (zh) | 2023-04-12 | 2023-04-12 | 一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116418502A (zh) |
-
2023
- 2023-04-12 CN CN202310385519.5A patent/CN116418502A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109492582B (zh) | 一种基于算法对抗性攻击的图像识别攻击方法 | |
CN109299701B (zh) | 基于gan扩充多人种特征协同选择的人脸年龄估计方法 | |
CN111310802A (zh) | 一种基于生成对抗网络的对抗攻击防御训练方法 | |
CN112884131A (zh) | 一种基于模仿学习的深度强化学习策略优化防御方法和装置 | |
CN109902018A (zh) | 一种智能驾驶系统测试案例的获取方法 | |
CN111882476B (zh) | 基于深度强化学习的自动学习嵌入代价的图像隐写方法 | |
Mo et al. | MCTSteg: A Monte Carlo tree search-based reinforcement learning framework for universal non-additive steganography | |
CN112767226A (zh) | 基于gan网络结构自动学习失真的图像隐写方法和系统 | |
CN112580728B (zh) | 一种基于强化学习的动态链路预测模型鲁棒性增强方法 | |
CN113254927B (zh) | 一种基于网络防御的模型处理方法、装置及存储介质 | |
CN114863226A (zh) | 一种网络物理系统入侵检测方法 | |
CN110807291B (zh) | 一种基于拟态对抗学习机制的现场态势未来引导技术 | |
Easom-Mccaldin et al. | On depth, robustness and performance using the data re-uploading single-qubit classifier | |
CN115272774A (zh) | 基于改进自适应差分进化算法的对抗样本攻击方法及系统 | |
CN117372839A (zh) | 图像分类领域联邦学习场景下的成员推理攻击方法 | |
CN111950635A (zh) | 一种基于分层特征对齐的鲁棒特征学习方法 | |
CN116418502A (zh) | 一种基于fgsm对抗性扰动的量子密钥分发系统攻击方法 | |
CN115277065B (zh) | 一种物联网异常流量检测中的对抗攻击方法及装置 | |
CN113468046B (zh) | 一种面向多目标的dnn模型的诱导输入生成的方法 | |
CN115510986A (zh) | 一种基于AdvGAN的对抗样本生成方法 | |
CN111666985B (zh) | 一种基于dropout的深度学习对抗样本图像分类防御方法 | |
Mangal et al. | Handwritten English vowels recognition using hybrid evolutionary feed-forward neural network | |
CN113487506A (zh) | 基于注意力去噪的对抗样本防御方法、装置和系统 | |
Li et al. | YOLO-A2G: An air-to-ground high-precision object detection algorithm based on YOLOv5 | |
Wang | Towards Robust and Secure Deep Learning Models and Beyond |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |