出自 MBA智库百科()
网络信息对抗(Network Information Countermeasure)
　　网络信息对抗是指在信息网络环境中，一为载体，以或为，围绕信息侦查、信息干扰、信息欺骗、信息攻击，为争夺信息优势而进行的的总称。其作战目的是争取制网络权，作战对象是敌方的计算机网络和，作战区域是广阔的计算机网络空间，作战手段是根据研制的各种病毒、逻辑炸弹和芯片武器等。
　　网络信息对抗是研究有关防止敌方攻击、检测敌方攻击信息系统、恢复破坏的信息系统及如何攻击、破坏敌方信息系统的理论和的一门科学。在军事上，网络信息对抗的本质是两个或多个敌对者在信息领域内，利用先进的电子信息技术和装备，使己方获取对战场信息的感知权、和而展开的斗争。由于斗争是限定在信息领域中进行的，因此信息对抗是围绕着信息的整个生命周期过程(包括信息的获取、传输、储存、处理、、利用及废弃等阶段)而展开的。在计算机网络日益普及的今天，信息的、处理与利用都必须依赖于信息系统，信息的传输必须依赖于有线的或各类无线的网络系统。因此，信息对抗实际上是保护己方的信息、、信息系统和计算机网络安全空间的同时，为破坏敌方的信息、信息处理、信息系统和计算机网络空间安全采取的各种行动。信息对抗的目标就是要获得明显的信息优势，进而获取决策优势，最终获得整个战场优势。
　　网络信息对抗的内涵包括：在准备和实施军事行动过程中，为夺取并保护对敌信息优势，按统一的意图和而采取的一整套信息保护措施，其中包括信息进攻和信息防御。
　　一、信息进攻
　　网络安全的最终目标是通过各种技术与实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性，其中前3项是网络安全的基本属性。机密性是保护敏感信息不被未授权的泄露或访问；完整性是指信息未经授权不能改变的特性；可用性是指信息系统可被授权人正常使用；是指能够在的条件与时间内完成规定功能的特性；可控性是指系统对信息内容和传输具有控制能力的特性；拒绝否认性是指通信双方不能抵赖或否认已完成的操作和。
　　黑客攻击的目标就是要破坏系统的上述属性，从而获取用户甚至是超级用户的权限，以及进行不许可的操作。例如在UNIX系统中支持网络监听程序必须有root权限，因此黑客梦寐以求的就是掌握一台主机的权限，进而掌握整个网段的通信状态。
　　常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分为“攻击准备一攻击实施一攻击后处理”几个过程，如图1-1所示。下面我们来具体了解一下这几个过程。
　　　　　　　图1-1 攻击行为过程
　　1、攻击准备
　　攻击者在发动攻击前，了解目标网络的，收集各种目标系统的信息。通常通过踩点、扫描和查点三步来进行。
　　(1)踩点
　　在这个过程中，攻击者主要通过各种工具和技巧对攻击目标的情况进行探测，进而对其安全情况进行分析。这个过程主要收集如IP地址范围、域名服务器IP地址、邮件服务器IP地址、网络拓扑结构、用户名、及等信息。通过中提供的大量信息，可以有效地缩小范围，针对攻击目标的具体情况选择相应的攻击工具。常用的收集信息的方式有通过网络命令进行查询，如whois、traceroute、nslookup、finger；通过网页搜索等。
　　(2)扫描
　　这个过程主要用于攻击者获取活动主机、开放服务、操作系统、安全漏洞等关键信息。扫描技术主要包括Ping扫描、、安全漏洞扫描。
　　①Ping扫描：用于确定哪些主机是存活的，由于现在很多机器的都禁止了Ping扫描功能，因此Ping扫描失败并不意味着主机肯定是不存活的。
　　②端口扫描：用于了解主机开放了哪些端口，从而推测主机都开放了哪些服务，著名的扫描工具有nmap、netcat等。
　　③安全漏洞扫描：用于发现系统软硬件、网络协议、等在设计上和实现上可以被攻击者利用的错误、缺陷和疏漏，安全漏洞扫描工具有nessus、Scanner等。
　　(3)查点
　　这个过程主要是从目标系统中获取有效账号或导出系统资源目录。通常这种信息是通过主动同目标系统建立连接来获得的，因此这种查询在本质上要比踩点和端口扫描更具有入侵效果。查点技术通常和操作系统有关，所收集的信息包括用户名和组名信息、系统类型信息、路由表信息和信息等。
　　2．攻击实施
　　当攻击者探测到了足够的系统信息，掌握了系统的安全弱点后就可以开始发动攻击。
　　根据不同的、不同的系统情况，攻击者可以采用不同的攻击手段。通常来说，攻击者攻击的最终目的是控制目标系统，从而可以窃取机密信息，远程操作目标主机。对于一些攻击目标是的攻击来说，攻击者还可能会进行，即通过远程操作多台机器同时对目标主机发动攻击，从而造成目标主机不能对外提供。
　　3．攻击后处理
　　获得目标系统的控制权后，攻击者为了能够方便下次进入目标系统，保留对目标系统的控制权，通常会采取相应的措施来消除攻击留下的痕迹，同时还会尽量保留隐蔽的通道。采用的技术有日志清理、安装后门、内核套件等。
　　 ①日志清理：通过更改系统日志清除攻击者留下的痕迹，避免被管理员发现。
　　②安装后门：通过安装后门工具，方便攻击者再次进入目标主机或远程控制目标主机。
　　③安装内核套件：可使攻击者直接控制操作系统内核，提供给攻击者一个完整的隐藏自身的工具包。
　　网络世界瞬息万变，攻击者的攻击手段、攻击工具也在不断变化，并不是每次攻击都需要以上的过程，攻击者在攻击过程中根据具体情况可能会增减部分攻击步骤。
　　二、信息防御
　　一般情况下被攻击方几乎始终处于被动局面，他不知道攻击行为在什么时候、以什么方式、以怎样的强度来攻击，故而被攻击方只有沉着应战才有可能获取最佳效果，把损失降到最低。单就防御来讲，相应于攻击行为过程，防御过程也可分为3个阶段，即确认攻击、对抗攻击、补救和预防，如图1-2所示。
　　　　　　　　图1-2 防御行为过程
　　防御方首先要尽可能早地发现并确定攻击行为、攻击者，所以平时信息系统要一直保持警惕，收集各种有关攻击行为的信息，不间断地进行分析、判定。系统一旦确定攻击行为的发生，无论是否具有严重的破坏性，防御方都要立即、果断地采取行动阻断攻击，有可能的情况下以主动出击的方式进行反击(如对攻击者进行定位跟踪)。此外，尽快修复攻击行为所产生的破坏性，修补漏洞和缺陷来加强相关方面的预防，对于造成严重后果的还要充分运用法律武器。
　　(1)确认攻击
　　攻击行为一般会产生某些迹象或者留下踪迹，所以可以根据系统的异常现象发现攻击行为，如异常的访问日志、网络流量突然增大、非授权访问(如非法访问系统配置文件)、正常服务的中止、出现可疑的进程或非法服务、系统文件或用户数据被更改、出现可疑的数据等。发现异常行为后，要进一步根据攻击的行为特征，分析、核实入侵者入侵的步骤，分析入侵的具体手段和入侵目的。一旦确认出现攻击行为，即可进行有效的反击和补救。总之，确认攻击是防御、对抗的首要环节。
　　(2)对抗攻击
　　一旦发现攻击行为就要立即采取措施以免造成更大的损失，同时在有可能的情况下给以迎头痛击，追踪入侵者并绳之以法。具体地来说，可以根据获知的攻击行为手段或方式，采取相应的措施，比如，针对后门攻击，就要及时堵住后门；针对病毒攻击，要利用杀毒软件或暂时关闭系统以免扩大受害面积等。还可采取反守为攻的方法，追查攻击者，复制入侵行为的所有影像作为法律追查分析、证明的，必要时直接报案，通过法律来解决。
　　(3)补救和预防
　　一次攻击和对抗过程结束后，防御方应吸取教训，及时分析和总结问题所在，对于未造成损失的攻击要修补漏洞或系统缺陷；对于已造成损失的攻击行为，被攻击方应尽快修复，尽早使系统工作正常，同时修补漏洞和缺陷，需要的情况下运用法律武器追究攻击方的。总之，无论是否造成损失，防御方均要尽可能地找出原因，并适时进行系统修补，而且要进一步采取措施加强预防。
　　1、以夺取和控制制网络权为首要目的
　　以夺取和控制制网络权为首要目的，是计算机网络战区别于其他作战样式的重要标志。计算机网络将各级指挥控制机构与作战部队甚至单兵有机地组织成一个整体，如果在作战中保持了制网络权，就意味着具有强大的战斗力，如果丧失了制网络权，即使己方人员、装备完好无损，也仍然是一盘散沙，不能形成战斗力。未来战场，谁在作战中控制网络的能力更强、更持久，谁就将夺取战争的胜利。
　　2、要求高且技术性强
　　计算机是高技术战争，计算机网络战士要求有很高的专业技术水平。现在博士和科学家也冲到了战争的最前线，发动“计算机战”。在计算机网络战中，网络战士将使用各种先进的网络战武器向敌方进行攻击。此外，计算机网络战涉及的、计算机技术、、网络互联技术、数据库管理技术、系统集成技术、调制解调技术、加(解)密技术、人工智能技术及、传递、处理技术等都是当今的高、精、尖技术。
　　3、行动更加隐蔽且突然
　　当今社会计算机网络已遍布世界各地，大大缩短了人们的时间、空间距离，因此以网络为依托的计算机网络战也就打破了以往战争中时空距离的限制，可以随时、随地向对方发起攻击。目前，对计算机网络可能的攻击手段，不仅有传统的兵力、火力打击等“硬”的一手，还有诸多“软”的手段，而且许多手段非常隐蔽，不留下任何蛛丝马迹。被攻击者可能无法判定攻击者是谁、它来自何方，难以确定攻击者的真实企图和实力，甚至可能在受到攻击后还毫无察觉。
　　4、效费比高
　　计算机网络对抗是把攻防联系得更为紧密的作战样式，这种攻防兼备的作战形式提高了计算机网络战的作战效益。一是计算机网络对抗攻防范围广泛。进攻行动隐蔽，攻击速度快，危害性大，危及面宽；计算机网络防御在己方整个计算机网络上实施，对整个系统正常运行有巨大作用。二是计算机网络攻防重点是敌我双方的核心系统。一旦核心系统遭受攻击或破坏，就会造成指挥中断。三是计算机网络对抗战的低，手段隐蔽，破坏力强。研制新型的计算机病毒武器比研制其他高新技术武器成本要低，而破坏力却并不低，因此，效费比高。
　　5、破坏性是长久的、持续的
　　在干扰发生以后，它仍然在继续行动，而传统的电子对抗只是在干扰发生期间起作用。所以，网络信息对抗的效果要比电子对抗大许多，它是唯一能胜任破坏战术操作能力的对抗技术。
　　6、网络信息对抗的战斗力可以准确地进行控制
　　它可以通过编程的方法搜索特定的敌方系统，一旦找到，智能武器就潜伏下来，等待时机行动。网络信息对抗的战斗力包括偷偷地改变系统功能，使系统关机，破坏数据文件和战术程序等。
　　网络信息对抗主要有以下几个层次。
　　1、实体层次的计算机网络对抗
　　以常规物理方式直接破坏、摧毁计算机网络系统的实体，完成目标打击和摧毁任务。在平时，主要指敌对势力利用方面的漏洞对计算机系统进行的破坏活动；在战时，指通过运用明显提高传统武器的威力，直接摧毁敌方的指挥控制中心、网络节点及。这一层次的首要任务是做好重要网络设施的保卫工作，加强场地，做好供电、接地、灭火的，与传统意义上的安全保卫工作的目标相吻合。
　　2、能量层次的计算机网络对抗
　　敌对双方围绕着制电磁频谱权而展开的物理能量的对抗。敌对双方一方面通过运用强大的物理能量干扰、压制或嵌入对方的，甚至像热武器一样直接摧毁敌方的信息系统(如高能射频枪、脉冲变压器弹等)；另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析，获取秘密信息。这一层次计算机安全的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰，在重要部位安装干扰器、建设屏蔽机房等。
　　3、逻辑层次的计算机网络对抗
　　逻辑层次的计算机网络对抗即运用逻辑手段破坏敌方的网络系统，保护己方的网络系统的对抗。这个概念接近于美国人讲的Cyberspace Warfare，包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗及芯片陷阱等多种形式。它与计算机网络在物理能量领域的对抗的区别表现在如下几点。
　　①在逻辑的对抗中获得制信息权的因素是逻辑的而不是物理能量的，取决于对信息系统本身的技术掌握水平，是和智力的较量，而不是强弱的较量。
　　②计算机网络空间(Cyberspace)成为战场，消除了地理空间的界限，使得对抗双方的前方、后方、前沿、纵深的概念变得模糊，进攻和防御的界限很难划分。
　　③虽然它基本上属于对系统的软破坏，但信息的泄露、篡改、丢失乃至网络的瘫痪同样会带来致命的后果。有时它也能引起对系统的硬破坏。
　　④由于计算机系统本质上的脆弱性，为了对付内行的系统入侵者，信息系统安全的核心手段是的(如访问控制、加密等)，而不是物理的(如机房进、出入制度等)，即通过对系统软、硬件的逻辑结构设计从技术体制上保证信息的安全。
　　惊人的和网络日希扩大的覆盖面。使逻辑意义上的网络对抗将不仅仅局限在军事领域，而是会成为波及整个社会大系统的全面抗衡和较量，具有突发性、隐蔽性、随机性、波及性和全方位性。
　　4、超逻辑层次(也可称为超技术层次)的计算机网络对抗
　　超逻辑层次的计算机网络对抗即网络空间中面向信息的超逻辑形式的对抗。网络对抗并不总是表现为技术的、逻辑的对抗形式，如国内外敌对势力利用计算机网络进行反动宣传、传播谣言、蛊惑人心，进行情报窃取和情报欺骗，针对敌方军民进行心理战等。这些都已经超出了网络的的范畴，属于对网络的管理、监察和控制的问题。利用黑客技术篡改股市数据以及对股市数据的完整性保护属于逻辑的对抗，而直接发表虚假信息欺骗大众则属于超逻辑的对抗。后一种意义上的网络对抗瞄准了人性的弱点，运用政治的、经济的、人文的、法制的、舆论的、攻心的等各种手段，打击对方的意志、意念和认知系统，往往以伪装、欺诈、谣言、诽谤、恐吓等形式出现。
　　超逻辑层次的对抗与逻辑层次的对抗的主要区别是：它把信息看作为难以用形式化语言描述的、不可分析的对象，其概念更加接近于信息的本质内涵，类似于历史上对信息战概念的传统理解，其战例和作战理论古已有之，并且在运用了现代网络技术后其形式已变得更加丰富多彩。虽然这一层次的对抗也要使用大量高科技，但它本质上是对技术的超越，其关键因素是策划创意的艺术，而不是具体的技术。后者是逻辑上可递归的，本质上可计算的；前者则是对逻辑的超越，本质上不存在可行的求解算法，否则敌方的作战意图、社会政治动向就可以准确地算出来了。显然后者属于更高层次的信息类型。
　　以上4种网络对抗的概念既有本质上的内在联系，又有各自不同的展开空间。第1个层次的对抗在常规物理空间上展开；第2个层次的对抗在电磁频谱空间上展开；第3个层次的对抗在计算机网络空间上展开；第4个层次的对抗则在一个更为广泛而深刻的精神空间上展开。
　　网络信息对抗的“秘密”武器是智能信息武器，它是、抗计算机病毒程序及对网络实施攻击的程序的总称。智能武器作为一种新型的电子战武器，它的攻击目标就是网络上敌方电子系统的处理器。终极目的就是在一定控制作用下，攻击对方系统中的(数据、程序等)，造成敌方系统灾难性的破坏，从而赢得战争的胜利。其作战步骤如下。
　　①通过，把智能攻击武器注入敌方系统的最薄弱环节(无保护的链路之中)。
　　②智能武器通过感染将病毒传播到下一个节点——有保护的链路之中，从而对有保护的节点构成威胁。
　　③通过一级级地感染，最终到达预定目标——敌方指挥中心的计算机系统，用特定的事件和时间激发，对敌方系统造成灾难性的破坏。网络信息对抗与传统的电子对抗的主要差别在于电子对抗的目标是电子系统的接收设备，而信息对杭的目标是敌方系统的处理器(即计算机)。
杜晔,梁颖主编.第一章 绪论 网络信息对抗.北京邮电大学出版社,2011.01.
本条目对我有帮助12
&&如果您认为本条目还有待完善，需要补充新内容或修改错误内容，请。
本条目相关文档
& 3页& 1页
本条目由以下用户参与贡献
(window.slotbydup=window.slotbydup || []).push({
id: '224685',
container: s,
size: '728,90',
display: 'inlay-fix'
评论(共0条)提示:评论内容为网友针对条目"网络信息对抗"展开的讨论，与本站观点立场无关。
发表评论请文明上网，理性发言并遵守有关规定。
以上内容根据网友推荐自动排序生成清华大学廖方舟：产生和防御对抗样本的新方法 | 分享总结清华大学廖方舟：产生和防御对抗样本的新方法 | 分享总结雷锋网百家号雷锋网AI研习社按：对抗样本是一类被恶意设计来攻击机器学习模型的样本。它们与真实样本的区别几乎无法用肉眼分辨，但是却会导致模型进行错误的判断。本文就来大家普及一下对抗样本的基础知识，以及如何做好对抗样本的攻与防。在近期雷锋网AI研习社举办的线上公开课上，来自清华大学的在读博士生廖方舟分享了他们团队在 NIPS 2017 上一个对抗样本攻防大赛中提到的两个新方法，这两个方法在大赛中分别获得了攻击方和防守方的第一名。点击可视频回放廖方舟，清华大学化学系学士，生医系在读博士。研究方向为计算神经学，神经网络和计算机视觉。参加多次 Kaggle 竞赛，是 Data Science Bowl 2017 冠军，NIPS 2017 对抗样本比赛冠军。Kaggle 最高排名世界第10。分享主题：动量迭代攻击和高层引导去噪：产生和防御对抗样本的新方法分享内容：大家好，我是廖方舟，今天分享的主题是对抗样本的攻和防。对抗样本的存在会使得深度学习在安全敏感性领域的应用收到威胁，如何对其进行有效的防御是很重要的研究课题。 我将从以下几方面做分享。什么是对抗样本传统的攻击方法传统的防守方法动量迭代攻击去噪方法高层引导去噪方法什么是对抗样本对抗样本的性质不仅仅是图片所拥有的性质，也不仅仅是深度学习神经网络独有的性质。因此它是把机器学习模型应用到一些安全敏感性领域里的一个障碍。当时，机器学习大牛Good fellow找了些船、车图片，他想逐渐加入一些特征，让模型对这些船，车的识别逐渐变成飞机，到最后发现人眼观测到的图片依然是船、车，但模型已经把船、车当做飞机。我们之前的工作发现样本不仅仅是对最后的预测产生误导，对特征的提取也产生误导。这是一个可视化的过程。当把一个正常样本放到神经网络后，神经元会专门观察鸟的头部，但我们给它一些对抗样本，这些对抗样本也都全部设计为鸟，就发现神经网络提取出来的特征都是乱七八糟，和鸟头没有太大的关系。也就是说欺骗不是从最后才发生的，欺骗在从模型的中间就开始产生的。下图是最简单的攻击方法——Fast Gradient Sign Method 除了FGSM单步攻击的方法，它的一个延伸就是多步攻击，即重复使用FGSM。由于有一个最大值的限制，所以单步的步长也会相应缩小。比如这里有一个攻击三步迭代，每一步迭代的攻击步长也会相应缩小。产生图片所用的CNN和需要攻击的CNN是同一个，我们称为白盒攻击。与之相反的攻击类型称为黑盒攻击，也就是对需要攻击的模型一无所知。以上所说的都是Non Targeted， 只要最后得到的目标预测不正确就可以了。另一种攻击Targeted FGSM，目标是不仅要分的不正确，而且还要分到指定的类型。一个提高黑盒攻击成功率行之有效的办法，是攻击一个集合。而目前为止一个行之有效的防守策略就是对抗训练。在模型训练过程中，训练样本不仅仅是干净样本，而是干净样本加上对抗样本。随着模型训练越来越多，一方面干净图片的准确率会增加，另一方面，对对抗样本的鲁棒性也会增加。下面简单介绍一下NIPS 2017 上的这个比赛规则比赛结构两个限制条件：容忍范围不能太大；不能花太长时间产生一个对抗样本，或者防守一个对抗样本FGSM算法结果图中绿色模型为攻击范围，最后两栏灰色是黑盒模型，随着迭代数量的增加， 攻击成功率反而上升。这就给攻击造成了难题。我们解决的办法就是在迭代与迭代中间加入动量加入动量之后，白盒攻击变强了，而且对黑盒模型攻击的成功率也大大提升了。总结：以前方法（iterative attack）的弱点是在迭代数量增多的情况下，它们的迁移性，也就是黑盒攻击性会减弱，在我们提出加入动量之后，这个问题得到了解决，可以很放心使用非常多的迭代数量进行攻击。在NIPS 2017 比赛上得到最高的分数需要提到的一点，上面提到的都是Non-targeted , 在Targeted攻击里面，这个策略有所不同。在Targeted攻击里面，基本没有观察到迁移性，也就是黑盒成功率一直很差，即便是加入动量，它的迁移程度也非常差。下面讲一下防守首先想到的就是去噪声，我们尝试用了一些传统的去噪方法（median filter 、BM3D）效果都不好。之后我们尝试使用了两个不同架构的神经网络去噪。一个是 Denoising Autoencoder，另一个是Denoising Additive U-Net。我们的训练样本是从ImageNet数据集中取了三万张图片 ，使用了七个不同的攻击方法对三万张图片攻击，得到21万张对抗样本图片以及三万张对应的原始图片。除了训练集，我们还做了两个测试集。一个白盒攻击测试集和一个黑盒攻击测试集。训练效果我们发现经过去噪以后，正确率反而有点下降。我们分析了一下原因，输入一个干净图片，再输入一个对抗图片，然后计算每一层网络在这两张图片上表示的差距，我们发现这个差距是逐层放大的。图中蓝线发现放大的幅度非常大，图中红线是去噪过后的图片，仍然在放大，导致最后还是被分错。为了解决这个问题，我们提出了经过改良后的网络 HGDHGD 的几个变种和之前的方法相比，改良后的网络 HGD防守准确率得到很大的提升HGD 有很好的迁移性最后比赛中，我们集成了四个不同的模型，以及训练了他们各自的去噪, ，最终把它们合并起来提交了上去。HGD网络总结优点：效果显著比其他队伍的模型好。比前人的方法使用更少的训练图片和更少的训练时间。可迁移。缺点：还依赖于微小变化的可测量问题并没有完全解决仍然会受到白盒攻击，除非假设对手不知道HGD的存在雷锋网AI慕课学院提供了本次分享的视频回放：http://www.mooc.ai/open/course/383本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。雷锋网百家号最近更新：简介:雷锋网——关注智能与未来！作者最新文章相关文章感谢赞赏！给好友秀一下吧
内容棒，扫码分享给好友
机器学习对抗性攻击是什么？我们去百度在硅谷的研究室请教了一下
2016 年 1 月 11 日中午，虎嗅探访了百度位于硅谷森尼韦尔 (Sunnyvale) 的美国研究室 (简称“百度美研)，来自安全部门 X Lab 的技术人员仲工程师向我们简单介绍了百度美研的大致情况，并重点讲解了安全领域的“机器学习对抗性攻击”技术。百度美国研究室座落在波尔多路 (Bordeaux Dr) 1195 号，除了安全实验室 X Lab 之外，百度美国的人工智能和无人汽车研发团队也在这里办公。虎嗅在停车场就发现了一台基于林肯 MKZ 试验改装的百度无人汽车。据仲工程师介绍，类似的试验改装无人车，在硅谷的百度美研还有其他几部，但不全是林肯 MKZ 的型号。除了无人车之外，由吴恩达领导的人工智能研发团队也在这里。虎嗅抵达百度的时候正值中午，在员工餐厅简单吃了午饭之后，就随仲工程师来到工位旁边的小会议室，开始本次拜访的重点话题：机器学习对抗性攻击。仲工程师首先向虎嗅指出，这次讲解的研发成果并非完全来自百度安全团队，而是涉及到整个业界的多项技术，百度更多关注该技术在产业界方面实际案例的研究。仲工程师的讲解主要基于加州大学伯克利分校 (UC Berkeley)
博士不久前在 GeekPwn 大会上发布的“探索对抗性深度学习的新攻击手段” (Exploring New Attack Space on Adversarial Deep Learning) 展开。仲工程师首先介绍了 DenseCap，这已经是深度学习领域大家比较熟悉的东西了：简单来说，深度学习对图片中的对象进行了识别，不仅仅是占画面大部分的猫，还有滑板、木地板，而且可以识别出是“桔黄色有斑点的猫”、“有红色滚轮的滑板”以及“棕色的硬木地板”。上图是 DenseCap 整体的工作架构，在对象识别 (Object Detection) 的这个环节，攻击的机会就出现了，见下图：虽然用肉眼来看，这是两张几乎一模一样的照片，但是右边的那一张实际上是经过处理用于攻击所采用的照片。可以看到，两张图片的对象识别结果有很大不同。也就是说，虽然两张照片看起来没什么区别，但是机器的识别结果并不一样。这也就是攻击的“漏洞”所在。这是另一个对象识别攻击的例子，让就是两张人眼看起来一模一样的图片，但是识别的结果大相径庭。基于 DenseCap 的架构，对象区域识别的“错误”，顺理成章地，则导致 captioning 产生不同的结果，从下面这个例子就能一目了然地看到：攻击图片 (Adversarial Image) 中的结果，“挂着的浴巾”变成了“白色和红色的杯子”，“地板上的垃圾桶”变成了“大巴车的前玻璃”，“墙上的镜子”变成了“镜子里的一只狗”，等等。加州大学伯克利分校的研究人员还基于一个“黑盒”系统对这种攻击方法进行了测试，他们选择了 clarifai。这是图像识别领域的一家创业公司，有报道显示该公司的系统可以在大部分单次猜测实现超过 90% 的识别率。左侧为图片，右侧为文字识别结果上图是一个在“黑盒”测试中实现的可转化的攻击案例：将一个机器识别为“熊猫”的图片，变成识别结果高达 99.3% 的“长臂猿”，这个结果对神经网络算法 ResNet152 仍旧有效。顺便说一下，长臂猿长的是这个样子：这和熊猫也差太远了……这种攻击方法在如下的模型和数据集当中进行了研究和验证：VGG16、ResNet50、ResNet101、ResNet152、GoogLeNet (Inception-v1) 和 Inception-v3，分别采用了单网络优化方法 (Single-network optimization-based Approach)、单网络快速迭代方法 (Single-network fast gradient-based Approach) 和综合方法 (Ensemble-based Approach)，并针对不同方法对这种攻击手段在不同深度学习系统中的可转化性进行了试验。经过仲工程师的讲解，虎嗅发现，试验结果中显示这种攻击方式在“黑盒”测验中显示出较高的可转化性。也就是说，在只有“黑盒”条件下接触模型的情况里，“攻击图片”导致的情况案例仍旧会出现。基于本文如上所述，我们不难联想到这种攻击方式在具体场景中的应用。比如使用了图像识别技术的监视系统，理论上入侵者可以“迷惑”系统识别的结果，或者是采用了图像识别技术的身份验证系统，从理论上讲入侵者可以使用两张人眼看起来差不多的图片，让系统识别成不同的两个人。“比如我拿一张自己的照片，处理之后系统可能识别成是‘李彦宏’。”仲工程师对虎嗅说道。本文内容仅供读者参考，水平有限，如有错误，烦请指出。
*文章为作者独立观点，不代表虎嗅网立场
发表，并经虎嗅网编辑。转载此文章须经作者同意，并请附上出处()及本页链接。原文链接https://www.huxiu.com/article/178167.html
未来面前，你我还都是孩子，还不去下载 猛嗅创新！
最多15字哦
后参与评论
我给你翻译翻译，什么叫惊喜