CN116668112A - 一种生成流量对抗样本访问黑盒模型的方法及装置 - Google Patents
一种生成流量对抗样本访问黑盒模型的方法及装置 Download PDFInfo
- Publication number
- CN116668112A CN116668112A CN202310624398.5A CN202310624398A CN116668112A CN 116668112 A CN116668112 A CN 116668112A CN 202310624398 A CN202310624398 A CN 202310624398A CN 116668112 A CN116668112 A CN 116668112A
- Authority
- CN
- China
- Prior art keywords
- sample
- model
- flow
- learning
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000006467 substitution reaction Methods 0.000 claims abstract description 63
- 238000012549 training Methods 0.000 claims abstract description 44
- 238000012360 testing method Methods 0.000 claims abstract description 17
- 230000000694 effects Effects 0.000 claims abstract description 10
- 238000005457 optimization Methods 0.000 claims description 14
- 238000007781 pre-processing Methods 0.000 claims description 5
- 238000004140 cleaning Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 230000001351 cycling effect Effects 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/094—Adversarial learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Computer Security & Cryptography (AREA)
- Artificial Intelligence (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Molecular Biology (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种生成流量对抗样本访问黑盒模型的方法及装置,其中,方法包括:从均衡流量样本的每一类中按比例抽取得到小样本,将小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;将元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用训练样本执行元学习的迭代训练,不断更新替代模型的网络参数,得到最终的优化替代模型,使用测试样本评估元学习的学习效果;使用均衡流量样本对优化替代模型进行白盒攻击,改变流量样本中的可微特征,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本;使用流量对抗样本攻击黑盒模型。本公开提升了黑盒攻击的攻击成功率。
Description
技术领域
本文件涉及网络安全技术领域,尤其涉及一种生成流量对抗样本访问黑盒模型的方法及装置。
背景技术
在对抗机器学习领域内,黑盒攻击场景下的攻击者无法访问目标模型的内部信息,只能通过输入输出信息创建对抗性样本,导致黑盒攻击相比于白盒攻击难度更大。
目前相关技术中,通常使用生成对抗样本或者优化攻击方法两种方案提升黑盒场景下的攻击效果,生成对抗样本的相关方法面临以下问题:流量特征数据在添加扰动之后无法维持恶意功能的约束,被扰动的网络流量无法在现有网络传输;只能通过输入数据得到目标模型标签的输出信息,无法了解目标模型的全部信息;攻击者访问目标模型次数过多会使防御者产生警觉。
综合以上该技术领域发展状况分析,现有的技术中缺少在黑盒攻击场景下添加扰动时保证不可微特征不变,能够访问目标模型内部信息并限制目标模型访问次数的方法。
发明内容
本发明的目的在于提供生成流量对抗样本访问黑盒模型的方法,旨在解决现有技术中的上述问题。
根据本公开实施例的第一方面,提供一种生成流量对抗样本访问黑盒模型的方法,包括:
从均衡流量样本的每一类中按比例抽取得到小样本,将小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
将元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用训练样本执行元学习的迭代训练,不断更新替代模型的网络参数,得到最终的优化替代模型,使用测试样本评估元学习的学习效果;
使用均衡流量样本对优化替代模型进行白盒攻击,改变流量样本中的可微特征,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本;
使用流量对抗样本攻击黑盒模型。
根据本公开实施例的第二方面,提供一种生成流量对抗样本访问黑盒模型的装置,包括:
元学习样本抽取模块,用于从均衡流量样本的每一类中按比例抽取得到小样本,将小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
网络参数优化模块,用于将元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用训练样本执行元学习的迭代训练,不断更新替代模型的网络参数,得到最终的优化替代模型,使用测试样本评估元学习的学习效果;
生成流量对抗样本模块,用于使用均衡流量样本对优化替代模型进行白盒攻击,改变流量样本中的可微特征,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本;
黑盒模型攻击模块,用于使用流量对抗样本攻击黑盒模型。
本公开的实施例提供的技术方案可以包括以下有益效果:只针对可微特征进行扰动保证了流量的恶意功能;将元学习应用在流量特征的对抗样本生成,减少了访问目标模型的次数;引入替代模型,利用白盒攻击的高攻击成功率提升黑盒攻击的攻击成功率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的生成流量对抗样本访问黑盒模型方法的流程图;
图2是本发明实施例的元学习的示意图;
图3是本发明实施例的元学习迭代过程的示意图;
图4是本发明实施例的生成流量对抗样本的示意图;
图5是本发明实施例的技术方案的示意图;
图6是本发明实施例的生成流量对抗样本访问黑盒模型模型的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
方法实施例
根据本发明实施例,提供了一种生成流量对抗样本访问黑盒模型的方法,图1是本发明实施例的生成流量对抗样本访问黑盒模型方法的流程图,如图1所示,根据本发明实施例的生成流量对抗样本访问黑盒模型方法具体包括:
在步骤S110中,从均衡流量样本的每一类中按比例抽取得到小样本,将小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
在步骤S120中,将元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用训练样本执行元学习的迭代训练,不断更新替代模型的网络参数,得到最终的优化替代模型,使用测试样本评估元学习的学习效果。具体包括:
将经过预训练的代替模型的初始参数赋值给训练样本中第一个样本对应的独有网络参数,使用元学习里的Support Set对第一个样本的独有网络参数进行一次优化,得到更新后独有网络参数,对更新后独有网络参数使用元学习里的Query Set计算训练样本的损失,并计算损失对更新后独有网络参数的梯度,使用梯度乘以替代模型的学习率得到替代模型更新参数,将替代模型更新参数作为下一轮迭代训练中的初始参数,将初始参数赋值给训练样本中第二个样本对应的独有网络参数,依次循环,直到得到最终的优化替代模型。
在步骤S130中,使用均衡流量样本对优化替代模型进行白盒攻击,改变流量样本中的可微特征,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本。
步骤S130中的可微特征包括:不表示流量样本中内在属性的特征;攻击方法具体包括:FGSM攻击、C&W攻击、JSMA攻击以及DeepFool攻击。
在步骤S140中,使用流量对抗样本攻击黑盒模型。具体包括:如果攻击所诉黑盒模型之后预测结果与真实标签不一致,则视为攻击成功。
方法进一步包括:
选取含有真实标签的流量样本,对流量样本进行清洗和预处理得到处理后流量样本,对处理后流量样本中的正常流量样本和多个攻击流量样本分别进行欠采样和过采样操作,得到均衡流量样本,并将均衡流量样本及对应的真实标签输入到代替模型进行预训练。
在一个具体实施例中,选取含有真实标签的流量样本CICIDS-2017数据集,对数据进行清洗和预处理,将CICIDS-2017数据集中流量特征值为NAN的特征设置为0,将流量特征值含有∞的特征丢弃,一般流量样本的数据集中正常流量样本的个数远远大于攻击流量样本,因此对攻击流量样本进行过采样,对正常流量样本进行欠采样,采样之后的均衡数据集为X0,X0中的数据样本有m个,包括j类攻击流量样本和1类正常流量样本,将所有均衡流量样本及其对应的真实标签输入到代替模型进行训练中进行训练,代替模型以多层感知机为主,也可以使用卷积神经网络或长短期记忆递归神经网络等,训练后得到模型的初始参数φ0。
从均衡流量样本X0的每一类中按比例抽取得到小样本Xs,抽取小样本的规则为mi=αNi,其中mi为第i类样本采集的样本数量,Ni为均衡流量样本X0中第i类样本的数量,其中i=0~j,0为正常样本类,α为采集小样本的比例,α需适当调节,不应太大或者太小,α太小会导致可供后面学习的样本变少,α太大会导致访问次数过多。
将小样本Xs对黑盒模型进行访问得到预测结果Ys,将预测结果与真实标签不一致的小样本保留为元学习样本,将预测结果与真实标签一致的小样本丢弃,进入下一阶段的元学习样本为Xs’。
通过元学习对替代模型进行参数优化,元学习参数优化的过程如下:
从元学习样本Xs’中准备即n组训练样本和测试样本,在元学习里称为SupportSet和Query Set,测试样本用于评估学习到的参数效果。网络结构为经过预训练的代替模型,预训练的替代模型的参数为φ0,开始执行迭代训练:
采样1个训练任务x,将替代模型的初始参数φ0赋值给任务x的独有网络参数即/>使用任务x的Support Set,基于任务x的学习率ax,对/>进行一次优化更新;基于1次优化后的/>使用Query Set计算任务x的损失/>并计算/>对/>的梯度;使用梯度乘以替代模型的学习率at更新参数φ0,将φ0更新为φ1;采样下一个训练任务y,将替代模型的参数φ1赋值给任务y的参数/>即/>使用任务y的Support Set,基于任务y的学习率ay,对/>进行一次优化更新;基于1次优化后的/>使用Query Set计算任务y的损失/>并计算/>对/>的梯度;使用梯度乘以替代模型的学习率at更新参数φ1,将φ1更新为φ2。依次循环,重复以上过程,直到n组训练任务完成,得到最终的优化替代模型。使用测试样本评估元学习的学习效果。图2是本发明实施例的元学习的示意图,如图2所示,展示了本实施例元学习的过程,图3是本发明实施例的元学习迭代过程的示意图,如图3所示,展示了本实施例元学习中迭代的过程。
使用均衡样本对优化替代模型进行白盒攻击,为了保证生成的流量对抗样本不改变流量的特性,能够在现网中运输,将流量样本的特征分为可微特征Xdiff和不可微特征Xnon-diff,不可微特征是保持流量内在属性的分类特征所以不做修改,如“协议类型”、“服务类型”等,在生成流量对抗样本时只改变可微的特征。
攻击方法具体包括:FGSM攻击、C&W攻击、JSMA攻击以及DeepFool攻击,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本,同时记录这些方法的攻击成功率。
使用流量对抗样本攻击黑盒模型,如果攻击所诉黑盒模型之后预测结果与真实标签不一致,则视为攻击成功,攻击黑盒模型的总流量对抗样本数为Xz,记录攻击成功的流量对抗样本数XC,计算攻击成功率b=XC/Xz。
综上所述,针对现状存在的问题,本次发明一种生成流量对抗样本访问黑盒模型方法,只针对可微特征进行扰动,在保证流量恶意功能持续的同时,保证被扰动后的网络流量仍能在现网传输;将元学习的方法应用在流量对抗样本生成的过程中,在很大程度上减少了访问目标模型的次数;引入替代模型,利用白盒模型攻击的方法攻击代替模型生成流量对抗样本去攻击黑盒模型,提升了黑盒模型的攻击成功率。
结合以下附图,对本发明实施例的上述技术方案进行举例说明。
图4是本发明实施例的生成流量对抗样本的示意图,如图4所示,展示了本发明实施例抽取元学习样本、优化替代模型、生成流量对抗样本以及攻击黑盒模型的完整示意过程。图5是本发明实施例的技术方案的示意图,如图5所示,展示了本发明实施例的完整技术流程。
装置实施例
根据本发明实施例,提供了一种生成流量对抗样本访问黑盒模型的装置,图6是本发明实施例的生成流量对抗样本访问黑盒模型装置的示意图,如图6所示,根据本发明实施例的生成流量对抗样本访问黑盒模型装置具体包括:
元学习样本抽取模块60,用于从均衡流量样本的每一类中按比例抽取得到小样本,将小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
网络参数优化模块62,用于将元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用训练样本执行元学习的迭代训练,不断更新替代模型的网络参数,得到最终的优化替代模型,使用测试样本评估元学习的学习效果;
网络参数优化模块62具体用于:将经过预训练的代替模型的初始参数赋值给训练样本中第一个样本对应的独有网络参数,使用元学习里的Support Set对第一个样本的独有网络参数进行一次优化,得到更新后独有网络参数,对更新后独有网络参数使用元学习里的Query Set计算训练样本的损失,并计算损失对更新后独有网络参数的梯度,使用梯度乘以替代模型的学习率得到替代模型更新参数,将替代模型更新参数作为下一轮迭代训练中的初始参数,将初始参数赋值给训练样本中第二个样本对应的独有网络参数,依次循环,直到得到最终的优化替代模型。
生成流量对抗样本模块64,用于使用均衡流量样本对优化替代模型进行白盒攻击,改变流量样本中的可微特征,在使用攻击方法对优化替代模块攻击成功后生成流量对抗样本;
生成流量对抗样本模块64具体用于:可微特征包括:不表示流量样本中内在属性的特征;攻击方法具体包括:FGSM攻击、C&W攻击、JSMA攻击以及DeepFool攻击。
黑盒模型攻击模块66,用于使用流量对抗样本攻击黑盒模型,如果攻击所诉黑盒模型之后预测结果与真实标签不一致,则视为攻击成功。
装置进一步包括:
预处理模块68,用于选取含有真实标签的流量样本,对流量样本进行清洗和预处理得到处理后流量样本,对处理后流量样本中的正常流量样本和多个攻击流量样本分别进行欠采样和过采样操作,得到均衡流量样本,并将均衡流量样本及对应的真实标签输入到代替模型进行预训练。
综上所述,针对现状存在的问题,本次发明一种生成流量对抗样本访问黑盒模型装置,只针对可微特征进行扰动,在保证流量恶意功能持续的同时,保证被扰动后的网络流量仍能在现网传输;将元学习的方法应用在流量对抗样本生成的过程中,在很大程度上减少了访问目标模型的次数;引入替代模型,利用白盒模型攻击的方法攻击代替模型生成流量对抗样本去攻击黑盒模型,提升了黑盒模型的攻击成功率。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种生成流量对抗样本访问黑盒模型的方法,其特征在于,包括:
从均衡流量样本的每一类中按比例抽取得到小样本,将所述小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
将所述元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用所述训练样本执行元学习的迭代训练,不断更新所述替代模型的网络参数,得到最终的优化替代模型,使用所述测试样本评估所述元学习的学习效果;
使用所述均衡流量样本对所述优化替代模型进行白盒攻击,改变所述流量样本中的可微特征,在使用攻击方法对所述优化替代模块攻击成功后生成流量对抗样本;
使用所述流量对抗样本攻击所述黑盒模型。
2.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
选取含有真实标签的流量样本,对所述流量样本进行清洗和预处理得到处理后流量样本,对所述处理后流量样本中的正常流量样本和多个攻击流量样本分别进行欠采样和过采样操作,得到所述均衡流量样本,并将所述均衡流量样本及对应的所述真实标签输入到代替模型进行预训练。
3.根据权利要求1所述的方法,其特征在于,所述在经过预训练的替代模型上使用所述训练样本执行元学习的迭代训练,不断更新所述替代模型的网络参数,得到最终的优化替代模型具体包括:
将所述经过预训练的代替模型的初始参数赋值给所述训练样本中第一个样本对应的独有网络参数,使用所述元学习里的Support Set对所述第一个样本的所述独有网络参数进行一次优化,得到更新后独有网络参数,对所述更新后独有网络参数使用所述元学习里的Query Set计算所述训练样本的损失,并计算所述损失对所述更新后独有网络参数的梯度,使用所述梯度乘以所述替代模型的学习率得到替代模型更新参数,将所述替代模型更新参数作为下一轮迭代训练中的所述初始参数,将所述初始参数赋值给所述训练样本中第二个样本对应的独有网络参数,依次循环,直到得到最终的优化替代模型。
4.根据权利要求1所述的方法,其特征在于,所述可微特征包括:不表示所述流量样本中内在属性的特征;所述攻击方法具体包括:FGSM攻击、C&W攻击、JSMA攻击以及DeepFool攻击。
5.根据权利要求1所述的方法,其特征在于,所述使用所述流量对抗样本攻击所述黑盒模型具体包括:如果攻击所诉黑盒模型之后预测结果与真实标签不一致,则视为攻击成功。
6.一种生成流量对抗样本访问黑盒模型的装置,其特征在于,包括:
元学习样本抽取模块,用于从均衡流量样本的每一类中按比例抽取得到小样本,将所述小样本对黑盒模型进行访问得到预测结果,将预测结果与真实标签不一致的小样本保留为元学习样本;
网络参数优化模块,用于将所述元学习样本分为训练样本和测试样本,在经过预训练的替代模型上使用所述训练样本执行元学习的迭代训练,不断更新所述替代模型的网络参数,得到最终的优化替代模型,使用所述测试样本评估所述元学习的学习效果;
生成流量对抗样本模块,用于使用所述均衡流量样本对所述优化替代模型进行白盒攻击,改变所述流量样本中的可微特征,在使用攻击方法对所述优化替代模块攻击成功后生成流量对抗样本;
黑盒模型攻击模块,用于使用所述流量对抗样本攻击所述黑盒模型。
7.根据权利要求6所述的装置,其特征在于,所述装置进一步包括:
预处理模块,用于选取含有真实标签的流量样本,对所述流量样本进行清洗和预处理得到处理后流量样本,对所述处理后流量样本中的正常流量样本和多个攻击流量样本分别进行欠采样和过采样操作,得到所述均衡流量样本,并将所述均衡流量样本及对应的所述真实标签输入到代替模型进行预训练。
8.根据权利要求6所述的装置,其特征在于,所述网络参数优化模块具体用于:
将所述经过预训练的代替模型的初始参数赋值给所述训练样本中第一个样本对应的独有网络参数,使用所述元学习里的Support Set对所述第一个样本的所述独有网络参数进行一次优化,得到更新后独有网络参数,对所述更新后独有网络参数使用所述元学习里的Query Set计算所述训练样本的损失,并计算所述损失对所述更新后独有网络参数的梯度,使用所述梯度乘以所述替代模型的学习率得到替代模型更新参数,将所述替代模型更新参数作为下一轮迭代训练中的所述初始参数,将所述初始参数赋值给所述训练样本中第二个样本对应的独有网络参数,依次循环,直到得到最终的优化替代模型。
9.根据权利要求6所述的装置,其特征在于,所述生成流量对抗样本模块具体用于:所述可微特征包括:不表示所述流量样本中内在属性的特征;所述攻击方法具体包括:FGSM攻击、C&W攻击、JSMA攻击以及DeepFool攻击。
10.根据权利要求6所述的装置,其特征在于,所述黑盒模型攻击模块具体用于:如果攻击所诉黑盒模型之后预测结果与真实标签不一致,则视为攻击成功。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310624398.5A CN116668112A (zh) | 2023-05-29 | 2023-05-29 | 一种生成流量对抗样本访问黑盒模型的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310624398.5A CN116668112A (zh) | 2023-05-29 | 2023-05-29 | 一种生成流量对抗样本访问黑盒模型的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116668112A true CN116668112A (zh) | 2023-08-29 |
Family
ID=87713109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310624398.5A Pending CN116668112A (zh) | 2023-05-29 | 2023-05-29 | 一种生成流量对抗样本访问黑盒模型的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116668112A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240624A (zh) * | 2023-11-14 | 2023-12-15 | 长春大学 | 一种基于黑盒场景的对抗攻击样本生成及测试方法及装置 |
-
2023
- 2023-05-29 CN CN202310624398.5A patent/CN116668112A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117240624A (zh) * | 2023-11-14 | 2023-12-15 | 长春大学 | 一种基于黑盒场景的对抗攻击样本生成及测试方法及装置 |
CN117240624B (zh) * | 2023-11-14 | 2024-01-23 | 长春大学 | 一种基于黑盒场景的对抗攻击样本生成及测试方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Adversarial batch image steganography against CNN-based pooled steganalysis | |
CN106778241A (zh) | 恶意文件的识别方法及装置 | |
Yu et al. | An improved steganography without embedding based on attention GAN | |
CN114821204B (zh) | 一种基于元学习嵌入半监督学习图像分类方法与系统 | |
CN111651762A (zh) | 一种基于卷积神经网络的pe恶意软件检测方法 | |
CN113011529B (zh) | 文本分类模型的训练方法、装置、设备及可读存储介质 | |
CN116992299B (zh) | 区块链交易异常检测模型的训练方法、检测方法及装置 | |
CN116668112A (zh) | 一种生成流量对抗样本访问黑盒模型的方法及装置 | |
CN113553624A (zh) | 基于改进pate的wgan-gp隐私保护系统和方法 | |
CN114863091A (zh) | 一种基于伪标签的目标检测训练方法 | |
Zheng et al. | Towards data-centric graph machine learning: Review and outlook | |
CN115643115A (zh) | 基于大数据的工控网络安全态势预测方法及系统 | |
CN110941829B (zh) | 一种基于生成对抗网络的大规模硬件木马库生成系统及方法 | |
CN117580046A (zh) | 一种基于深度学习的5g网络动态安全能力调度方法 | |
CN113627597B (zh) | 一种基于通用扰动的对抗样本生成方法及系统 | |
CN116306780B (zh) | 一种动态图链接生成方法 | |
CN111767949A (zh) | 一种基于特征和样本对抗共生的多任务学习方法及其系统 | |
CN116258504B (zh) | 银行客户关系管理系统及其方法 | |
CN111008940A (zh) | 一种图像增强方法及装置 | |
CN115277065B (zh) | 一种物联网异常流量检测中的对抗攻击方法及装置 | |
CN116232699A (zh) | 细粒度网络入侵检测模型的训练方法和网络入侵检测方法 | |
CN116484923A (zh) | 基于区块链和数据增强的联邦学习训练方法及系统 | |
Wei et al. | Auto-generating neural networks with reinforcement learning for multi-purpose image forensics | |
Tang et al. | Joint cost learning and payload allocation with image-wise attention for batch steganography | |
Luo et al. | Content-adaptive adversarial embedding for image steganography using deep reinforcement learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |