基于分類器逆向?qū)W習的最小代價檢測規(guī)避方法研究.pdf

1、機器學習和模式識別方法在許多領域得到了應用，一些應用中，如語音識別，圖像識別等，都是一些正常用戶，他們不會設法去欺騙分類器；而在一些和安全相關的應用中，如入侵檢測，垃圾郵件過濾等，存在部分惡意用戶，他們會采取各種方法企圖逃過分類器的檢測，從中獲取非法利益。
　　本文主要研究最小代價檢測規(guī)避方法，即如何最少地修改一個惡意類別樣本的特征，使之變成一個正常類別的樣本，并逃脫分類器的檢測，這個過程可以看作是對分類器進行最小代價攻擊。所謂知

2、己知彼，百戰(zhàn)不殆，當知道對手如何攻擊分類器時，也更有利于設計魯棒性更強的分類器。同時，對分類器的攻擊在一些特定時候也是需要的。
　　目前，有兩種方法研究最小代價檢測規(guī)避，一種是直接求解法，用生成樣本直接去探測被攻擊的分類器，得到一個最小代價檢測規(guī)避樣本；另外一種是間接求解法，借助于分類器逆向?qū)W習技術，學習出一個與被攻擊分類器相似的分類器，然后通過對學習出來的分類器進行探索，找到分類器的最小代價檢測規(guī)避樣本。
　　以上兩種方法

3、都有許多前提限制，本文對其方法進行了拓展，并打破其中的一些限制，主要貢獻如下：
　?。?）提出了一種能夠在球殼上產(chǎn)生更多探測點的方法。之前的直接求解法假設正例判別空間為凸集，代價函數(shù)為l1范數(shù)，本文將其代價函數(shù)拓展到任意凸函數(shù)，方法以待修改的正例樣本為球心，在不同半徑的超球體表面產(chǎn)生樣本，其中較短半徑的球體限制在正例判別空間內(nèi)，較長半徑的球體與反例判別空間有交集，然后對兩個球殼上對應方向上的探測點進行二分查找，可以以很高的概率找到

4、一個近似的最小代價檢測規(guī)避樣本。
　　（2）提出了一種對任意非線性分類器攻擊的方法。傳統(tǒng)的間接求解法假設待攻擊的分類器為線性分類器，本文將其拓展到任意非線性分類器。方法首先用非線性分類器，如神經(jīng)網(wǎng)絡、支持向量機（support vector machine，簡稱SVM）等，逆向任意一個待攻擊分類器，然后利用逆向出來的分類器結合內(nèi)點罰函數(shù)法求解一個最小代價檢測規(guī)避樣本。通過神經(jīng)網(wǎng)絡和SVM逆向高斯混合模型的實驗，發(fā)現(xiàn)神經(jīng)網(wǎng)絡比SVM

5、找到的最小代價規(guī)避樣本更加準確。
　?。?）提出了一種新的樣本生成算法，用于訓練基于人工神經(jīng)網(wǎng)絡和局部線性SVM的逆向?qū)W習模型。首先假設待攻擊的分類器未知，但當輸入一個樣本時，能夠輸出其類別；然后用樣本生成算法生成大量的人造樣本，并用待攻擊分類器識別其類別；最后用生成的樣本訓練神經(jīng)網(wǎng)絡和局部線性SVM。分類樣本時，首先用神經(jīng)網(wǎng)絡判斷，如果大于某一閾值，識別結束，如果小于某一閾值，則用局部線性SVM識別其類別。通過仿真實驗表明，與基