谷歌大腦最近研究表明,任何機器學習分類器都可能被欺騙,給出不正確的預測。在自動語音識別(ASR)系統中,深度循環網絡已經取得了一定的成功,但是許多人已經證明,小的對抗干擾就可以欺騙深層神經網絡。而目前關於欺騙 ASR 系統的工作主要集中在白盒攻擊上,Alzantot 等人證明利用遺傳算法的黑盒攻擊是可行的。
而在接下來為大家介紹的這篇加州大學伯克利分校機器學習團隊的論文中,引入了一個新的黑盒攻擊領域,特別是在深層非線性的 ASR 系統中可以輸出任意長度的轉換。作者提出了一種將遺傳算法和梯度估計結合的黑盒攻擊方法,使之可以產生比單獨算法更好的對抗樣本。
在研究中,通過改進遺傳算法從而應用於短語和句子中;將噪聲限制在高頻域上可以提高樣本的相似度;而當對抗樣本已經接近目標時,梯度估計會比遺傳算法進行更有效的權衡,為未來的研究打開了新的大門。
分享到:
閱讀更多 中國一線 的文章
