基于分類(lèi)器逆向?qū)W習(xí)的最小代價(jià)檢測(cè)規(guī)避方法研究.pdf

1、機(jī)器學(xué)習(xí)和模式識(shí)別方法在許多領(lǐng)域得到了應(yīng)用，一些應(yīng)用中，如語(yǔ)音識(shí)別，圖像識(shí)別等，都是一些正常用戶(hù)，他們不會(huì)設(shè)法去欺騙分類(lèi)器；而在一些和安全相關(guān)的應(yīng)用中，如入侵檢測(cè)，垃圾郵件過(guò)濾等，存在部分惡意用戶(hù)，他們會(huì)采取各種方法企圖逃過(guò)分類(lèi)器的檢測(cè)，從中獲取非法利益。
　　本文主要研究最小代價(jià)檢測(cè)規(guī)避方法，即如何最少地修改一個(gè)惡意類(lèi)別樣本的特征，使之變成一個(gè)正常類(lèi)別的樣本，并逃脫分類(lèi)器的檢測(cè)，這個(gè)過(guò)程可以看作是對(duì)分類(lèi)器進(jìn)行最小代價(jià)攻擊。所謂知

2、己知彼，百戰(zhàn)不殆，當(dāng)知道對(duì)手如何攻擊分類(lèi)器時(shí)，也更有利于設(shè)計(jì)魯棒性更強(qiáng)的分類(lèi)器。同時(shí)，對(duì)分類(lèi)器的攻擊在一些特定時(shí)候也是需要的。
　　目前，有兩種方法研究最小代價(jià)檢測(cè)規(guī)避，一種是直接求解法，用生成樣本直接去探測(cè)被攻擊的分類(lèi)器，得到一個(gè)最小代價(jià)檢測(cè)規(guī)避樣本；另外一種是間接求解法，借助于分類(lèi)器逆向?qū)W習(xí)技術(shù)，學(xué)習(xí)出一個(gè)與被攻擊分類(lèi)器相似的分類(lèi)器，然后通過(guò)對(duì)學(xué)習(xí)出來(lái)的分類(lèi)器進(jìn)行探索，找到分類(lèi)器的最小代價(jià)檢測(cè)規(guī)避樣本。
　　以上兩種方法

3、都有許多前提限制，本文對(duì)其方法進(jìn)行了拓展，并打破其中的一些限制，主要貢獻(xiàn)如下：
　　（1）提出了一種能夠在球殼上產(chǎn)生更多探測(cè)點(diǎn)的方法。之前的直接求解法假設(shè)正例判別空間為凸集，代價(jià)函數(shù)為l1范數(shù)，本文將其代價(jià)函數(shù)拓展到任意凸函數(shù)，方法以待修改的正例樣本為球心，在不同半徑的超球體表面產(chǎn)生樣本，其中較短半徑的球體限制在正例判別空間內(nèi)，較長(zhǎng)半徑的球體與反例判別空間有交集，然后對(duì)兩個(gè)球殼上對(duì)應(yīng)方向上的探測(cè)點(diǎn)進(jìn)行二分查找，可以以很高的概率找到

4、一個(gè)近似的最小代價(jià)檢測(cè)規(guī)避樣本。
　　（2）提出了一種對(duì)任意非線性分類(lèi)器攻擊的方法。傳統(tǒng)的間接求解法假設(shè)待攻擊的分類(lèi)器為線性分類(lèi)器，本文將其拓展到任意非線性分類(lèi)器。方法首先用非線性分類(lèi)器，如神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)（support vector machine，簡(jiǎn)稱(chēng)SVM）等，逆向任意一個(gè)待攻擊分類(lèi)器，然后利用逆向出來(lái)的分類(lèi)器結(jié)合內(nèi)點(diǎn)罰函數(shù)法求解一個(gè)最小代價(jià)檢測(cè)規(guī)避樣本。通過(guò)神經(jīng)網(wǎng)絡(luò)和SVM逆向高斯混合模型的實(shí)驗(yàn)，發(fā)現(xiàn)神經(jīng)網(wǎng)絡(luò)比SVM

5、找到的最小代價(jià)規(guī)避樣本更加準(zhǔn)確。
　?。?）提出了一種新的樣本生成算法，用于訓(xùn)練基于人工神經(jīng)網(wǎng)絡(luò)和局部線性SVM的逆向?qū)W習(xí)模型。首先假設(shè)待攻擊的分類(lèi)器未知，但當(dāng)輸入一個(gè)樣本時(shí)，能夠輸出其類(lèi)別；然后用樣本生成算法生成大量的人造樣本，并用待攻擊分類(lèi)器識(shí)別其類(lèi)別；最后用生成的樣本訓(xùn)練神經(jīng)網(wǎng)絡(luò)和局部線性SVM。分類(lèi)樣本時(shí)，首先用神經(jīng)網(wǎng)絡(luò)判斷，如果大于某一閾值，識(shí)別結(jié)束，如果小于某一閾值，則用局部線性SVM識(shí)別其類(lèi)別。通過(guò)仿真實(shí)驗(yàn)表明，與基