计算机科学-攻击与对抗性

📄 中文摘要:
大语言模型(LLMs)越来越多地与图结构数据结合,用于节点分类等任务,这一领域传统上由图神经网络(GNNs)主导。尽管这种结合利用了丰富的关联信息来提升任务性能,但图感知大语言模型对抗性攻击的鲁棒性尚未被充分探索。本研究首次探讨了图感知大语言模型的脆弱性,通过针对图模型设计的现有对抗性攻击方法,包括训练时攻击(中毒攻击)和测试时攻击(逃避攻击),对两个代表性模型LLAGA(Chen等人,2024)和GRAPHPROMPTER(Liu等人,2024)进行了测试。此外,本研究发现了LLAGA的一个新攻击面,攻击者可通过在节点序列模板中注入恶意节点作为占位符,严重降低其性能。系统分析表明,图编码中的某些设计选择会增强攻击成功率,具体发现包括:(1)LLAGA中的节点序列模板增加了其脆弱性;(2)GRAPHPROMPTER中使用的GNN编码器表现出更强的鲁棒性;(3)两种方法均易受不可察觉的特征扰动攻击影响。最后,本研究提出了一种端到端的防御框架GALGUARD,该框架结合了基于LLM的特征校正模块以缓解特征级扰动,并适配了GNN防御机制以抵御结构攻击。本研究揭示了图感知大语言模型在对抗性环境下的潜在风险,并为提升其安全性提供了有效策略。

📄 中文摘要:
多模态大语言模型(MLLMs)因其强大的视觉-语言推理能力,正成为自动驾驶(AD)系统的重要组成部分。然而,MLLMs容易受到对抗性攻击的影响,尤其是对抗性补丁攻击,这在现实场景中可能构成严重威胁。现有的基于补丁的攻击方法主要针对目标检测模型设计,当转移到基于MLLM的系统时效果不佳,原因是后者具有复杂的架构和推理能力。为解决这些局限性,本研究提出了PhysPatch,一种针对基于MLLM的自动驾驶系统设计的物理可实现且可转移的对抗性补丁框架。PhysPatch通过联合优化补丁的位置、形状和内容,显著提升攻击效果和现实世界的适用性。该框架引入了基于语义的掩码初始化策略以实现补丁的合理放置,结合基于SVD的局部对齐损失和补丁引导的裁剪-调整方法以提高可转移性,并采用基于势场的掩码优化技术。广泛的实验表明,PhysPatch在开源、商业以及具备推理能力的MLLMs上均显著优于现有方法,能够有效引导基于MLLM的自动驾驶系统朝目标一致的感知和规划输出方向偏移。此外,PhysPatch始终将对抗性补丁放置在自动驾驶场景中物理上可行的区域,确保了其在现实世界中的强大适用性和可部署性。本研究揭示了MLLM在自动驾驶应用中的潜在安全漏洞,并为对抗性攻击的防御提供了重要参考。

📄 中文摘要:
本文综合分析了八篇关于视觉-语言模型(VLMs,如CLIP)零样本对抗鲁棒性的 seminal 论文,探讨了该领域的一个核心挑战,即在增强对抗鲁棒性与保持模型零样本泛化能力之间存在的固有权衡。研究聚焦于两种主要的防御范式:对抗性微调(Adversarial Fine-Tuning, AFT),通过修改模型参数来提升鲁棒性;以及无训练/测试时防御(Training-Free/Test-Time Defenses),通过保留模型参数实现防御。文章追溯了防御方法的演变历程,从保持对齐的方法(如TeCoA)到嵌入空间重构技术(如LAAT、TIMA),再到输入启发式方法(如AOM、TTC)和潜在空间净化技术(如CLIPure)。通过对这些方法的系统性分析,研究揭示了不同防御策略在鲁棒性和泛化能力之间的平衡机制及其局限性。此外,文章还指出了当前研究面临的关键挑战,包括防御策略的有效性评估、计算成本的优化以及对复杂对抗攻击的适应性等问题。最后,作者提出了未来研究方向,强调了混合防御策略和对抗性预训练的重要性,旨在进一步提升视觉-语言模型在零样本场景下的鲁棒性,同时尽可能减少对泛化能力的负面影响。本研究为该领域提供了全面的视角和理论指导,有助于推动视觉-语言模型在实际应用中的安全性和可靠性。

📄 中文摘要:
近年来,研究表明深度神经网络(DNNs)容易受到后门攻击的威胁。在后门攻击中,攻击者通过在数据集中注入特定的触发器,使得模型在触发器激活时产生错误的预测结果。本文提出了一种新颖的防御机制——非目标标签训练与互学习(NT-ML),该方法能够在高级后门攻击下成功修复被污染的模型。NT-ML方法分为两个主要阶段:首先,通过非目标标签训练(NT)阶段,利用标准训练的输出对模型进行重新训练,以减少被污染数据的影响。在这一阶段,构建了一个在干净数据上具有高准确率的教师模型,以及一个在被污染数据上对正确预测具有较高置信度的学生模型。其次,通过互学习(ML)阶段,教师模型和学生模型能够相互学习对方的优势,从而得到一个纯净的学生模型。广泛的实验表明,NT-ML方法仅需少量干净样本即可有效防御6种后门攻击,并且在性能上优于5种当前最先进的后门防御方法。实验结果验证了该方法在应对后门攻击时的有效性和鲁棒性,为深度学习模型的安全性提供了重要的技术支持。作者通过这种双阶段的训练策略,成功降低了后门攻击对模型预测的影响,为未来的防御研究提供了新的思路和方法。

📄 中文摘要:
生物识别系统,如基于深度神经网络(DNN)的人脸识别系统,依赖于大规模且高度敏感的数据集。然而,后门攻击通过操纵训练过程可以破坏这些系统。攻击者只需在少量训练图像中插入一个小型触发器(如贴纸、化妆或图案化面具),便可在后续认证时通过展示相同触发器被错误识别为他人,从而获得未经授权的访问权限。现有的后门攻击防御机制在精确识别和缓解中毒图像方面仍面临挑战,同时难以保证数据效用,这削弱了系统的整体可靠性。本研究提出了一种新颖且可泛化的方法——TrueBiometric:可信生物识别。该方法利用多个最先进的视觉-语言大模型,通过多数投票机制准确检测中毒图像。一旦识别出中毒样本,系统通过针对性和校准的纠正噪声对其进行修复。广泛的实验结果表明,TrueBiometric在不影响干净图像识别精度的前提下,以100%的准确率检测并纠正中毒图像。与现有的最先进方法相比,TrueBiometric在缓解人脸识别系统中的后门攻击方面提供了更实用、准确和有效的解决方案。本研究不仅提升了生物识别系统的安全性,还为深度学习模型在对抗性攻击下的鲁棒性提供了新的思路,具有重要的理论和应用价值。

📄 中文摘要:
随着深度目标检测器的发展,其在自动驾驶等安全关键领域的影响日益显著。然而,物理对抗性伪装通过改变物体纹理来欺骗检测器,构成了重大的安全威胁。现有技术在多变的物理环境中面临两大挑战:1)不同距离下的采样点密度不一致,阻碍了梯度优化确保局部连续性;2)从多个角度更新纹理梯度会导致冲突,降低优化稳定性和攻击效果。为解决这些问题,本文提出了一种基于梯度优化的新型对抗性伪装框架。首先,引入了梯度校准策略,通过将梯度从稀疏采样点传播到未采样纹理点,确保不同距离下的梯度更新一致性。此外,开发了一种梯度去相关方法,根据损失值对梯度进行优先级排序和正交化,消除冗余或冲突更新,从而提高多角度优化的稳定性和效果。广泛的实验结果表明,该方法在不同检测模型、角度和距离上的表现显著优于现有技术,攻击成功率(ASR)在不同距离下平均提高13.46%,在不同角度下平均提高11.03%。此外,现实场景中的实证评估凸显了对更鲁棒系统设计的迫切需求。本研究为对抗性伪装技术提供了新的视角,同时也为目标检测系统的安全性提出了更高的要求。

📄 中文摘要:
本文研究了通过有损压缩预处理图像以防御对抗性扰动的可行性,并针对这一防御机制提出了强有力的白盒和自适应攻击方法。研究背景源于先前工作表明有损压缩可能作为一种对抗性防御手段,但缺乏全面的攻击评估。本文构建了针对多种压缩模型的攻击策略,并发现一个关键挑战:重建图像的高真实性显著增加了攻击难度。通过在多种攻击场景下的严格评估,研究表明,能够生成真实、高保真重建图像的压缩模型对攻击具有更强的抵抗能力,而低真实性的压缩模型则容易被攻破。进一步分析表明,这种现象并非由于梯度掩码导致,而是因为高真实性重建图像在分布上与自然图像保持一致,从而提供了内在的鲁棒性。本文揭示了未来对抗性攻击的一个重要障碍,即攻击者需要克服重建图像真实性带来的挑战。研究结论指出,开发更有效的攻击技术以突破真实性限制,是全面安全评估中亟待解决的关键问题。这一发现不仅为对抗性防御研究提供了新视角,也为设计更鲁棒的防御机制指明了方向。

📄 中文摘要:
本文研究了后门注入攻击对机器学习模型的威胁,特别是在模型使用从不可信来源收集的大量数据进行训练的情况下。此类攻击允许攻击者在模型中注入恶意行为,并通过特制输入触发这些行为。已有研究已对后门攻击的成功率及其对良性学习任务的影响建立了界限,但一个悬而未决的问题是,成功的后门攻击究竟需要多少毒化数据。传统的攻击方法要么使用少量样本,但需要大量关于数据点的信息;要么需要毒化大量数据点。本文提出了一种创新方法,探索了在线性回归和线性分类任务中,仅使用单个毒化样本进行后门注入的可能性,验证了所谓的‘单毒假设’。研究通过理论分析和实验验证,证明了在特定条件下,攻击者可以在不依赖大量数据信息的情况下,仅通过一个精心设计的毒化样本成功注入后门,并实现对模型输出的操控。关键发现包括:单毒样本攻击在某些线性模型中是可行的,且对模型的良性性能影响较小,这揭示了机器学习模型在面对后门攻击时的潜在脆弱性。研究结论强调了在数据收集和模型训练过程中加强安全措施的重要性,并为未来防御此类攻击提供了理论基础和实践指导。本文的研究成果对理解后门攻击的机制以及设计更安全的机器学习系统具有重要意义。

📄 中文摘要:
本文针对深度学习模型在雨、雪和雾霾去除任务中的脆弱性进行了研究。尽管这些模型在恶劣天气下能够提升图像质量,但它们容易受到对抗性攻击的影响,从而降低其有效性。传统的防御方法,如对抗性训练和模型蒸馏,通常需要大量的重新训练,成本高且在实际部署中不切实际。虽然去噪和超分辨率技术可以辅助图像分类模型,但它们计算需求高,且会引入视觉伪影,影响图像处理任务的性能。为解决这些问题,本文提出了一种模型无关的防御方法——四元数-哈达玛网络(QHNet),用于抵御一阶白盒对抗性攻击。白盒攻击因攻击者能够完全访问模型的架构、权重和训练过程而尤为难以防御。QHNet通过引入四元数哈达玛去噪卷积块(QHDCB)和四元数去噪残差块(QDRB),结合多项式阈值技术,在编码器-解码器架构中嵌入特征精炼机制,有效中和对抗性噪声。此外,本文还提出了一个新的对抗性天气条件视觉数据集(AWCVD),通过对最先进的天气去除技术在雾霾、雨条和雪等场景中应用一阶梯度攻击生成。实验结果表明,基于PSNR和SSIM指标,QHNet在对抗性攻击下的鲁棒性显著优于现有的去噪和超分辨率技术。本文的源代码和数据集将在最终版本发布时一并公开。

📄 中文摘要:
本文研究了在电力系统中并行网络-物理攻击(PCPA)下的故障诊断问题。PCPA通过同时破坏物理输电线路和阻断测量数据传输,严重影响系统的保护和恢复能力。研究基于线性化直流潮流模型,考虑了物理攻击机制,不仅包括线路断开,还包括通过受损分布式柔性交流输电系统(D-FACTS)设备导致的导纳修改。为解决这一问题,本文提出了一种基于元混合整数规划(MMIP)的故障诊断框架,并集成了基于图注意力网络的故障定位(GAT-FL)方法。首先,作者推导了测量重构条件,利用可用测量数据和系统拓扑结构重构受攻击区域的未知测量值。在此基础上,将诊断任务建模为MMIP问题。GAT-FL预测潜在物理攻击的概率分布,并将其作为MMIP的目标系数。求解MMIP模型可获得最优的攻击位置和强度估计,同时重构系统状态。实验在IEEE 30/118节点标准测试案例上进行,验证了所提出的故障诊断算法的有效性。研究结果表明,该方法能够在复杂的网络-物理攻击场景下准确识别故障位置并估计攻击影响,为电力系统的安全运行和快速恢复提供了重要支持。本文的方法在处理多重攻击和数据缺失问题上展现了较高的鲁棒性和实用性,对未来电力系统网络安全研究具有指导意义。

📄 中文摘要:
后门攻击通过在深度神经网络(DNNs)中植入隐藏后门,结合预定义的触发器恶意操控模型行为,对网络安全构成严重威胁。传统的三维点云后门攻击主要依赖于样本级的全局修改,但这种方法隐秘性较差。虽然优化方法可以提升隐秘性,但对样本级触发器的优化显著增加了计算成本。为解决这些局限性,本文提出了隐秘补丁式后门攻击(SPBA),这是首个针对三维点云的补丁式后门攻击框架。SPBA将点云分解为局部补丁,并利用基于曲率的隐秘性评分指导触发器注入到视觉上不敏感的补丁中。通过优化统一的补丁式触发器,扰动所选补丁的频谱特征,SPBA在保持高隐秘性的同时显著提高了优化效率。在ModelNet40和ShapeNetPart数据集上的大量实验进一步证明,SPBA在攻击效果和对防御方法的抗性方面均优于现有的最先进后门攻击方法。本研究揭示了三维点云模型在面对局部扰动时的脆弱性,为深度学习安全领域提供了新的视角,同时也为防御此类攻击提供了重要的研究基础。研究结果表明,SPBA不仅在攻击成功率上表现出色,还能在多种防御机制下保持有效性,凸显了其在实际应用中的潜在威胁。结论指出,未来的工作应聚焦于开发针对补丁式后门攻击的专用防御策略,以提升三维点云模型的鲁棒性。

📄 中文摘要:
随着大型语言模型(LLMs)被广泛集成到企业系统中,其逻辑执行层和持久性内存环境引入了一类新的隐蔽安全漏洞。本文提出了一种新型攻击类别——逻辑层提示控制注入(LPCI)。LPCI攻击通过在内存、向量存储或工具输出中嵌入编码的、延迟的以及条件触发的有效载荷,绕过传统的输入过滤机制,并在多个会话中触发未经授权的行为。本研究详细分析了LPCI的机制,揭示了其如何利用代理系统中的逻辑层漏洞,通过精心设计的提示控制来实现恶意操作。研究方法包括对现有安全框架的评估、模拟攻击场景以及开发检测和防御策略。关键发现表明,LPCI攻击能够在不被察觉的情况下长期潜伏,并可能导致严重的数据泄露或系统控制丧失。此外,本文还提出了针对LPCI的初步防御措施,包括增强输入验证、监控逻辑层交互以及改进内存管理技术。研究结论强调了在代理系统设计中纳入更强大的安全机制的迫切性,并呼吁学术界和工业界共同应对这一新兴威胁。LPCI的发现不仅揭示了大型语言模型应用中的潜在风险,也为未来安全研究提供了重要方向。

📄 中文摘要:
随着云基础设施成为现代组织的核心支柱,加密密钥管理的安全性,尤其是使用硬件安全模块(HSM)和可信平台模块(TPM)的安全性,面临前所未有的挑战。尽管这些基于硬件的解决方案在隔离环境中提供了强大的保护,但其在云环境中的有效性正受到云原生威胁的削弱,如配置错误、API被攻破以及横向权限提升等。本文对涉及云环境中HSM和TPM的公开攻击和漏洞事件进行了全面分析,识别出反复出现的架构和操作缺陷。基于现实案例研究和威胁情报报告,本文提出了一种攻击向量的分类方法,突显了硬件信任锚与动态云生态系统之间的差距。此外,本文评估了新兴防御范式,包括机密计算、后量子密码学和去中心化密钥管理系统(dKMS),分析了它们在解决这些差距方面的潜力。研究结果强调,保护基于云的加密信任需要一种分层且上下文感知的方法,整合硬件和软件防护措施。本研究为云架构师和安全工程师提供了一个实用框架,以重新评估密钥保护策略,应对不断演变的威胁。据悉,这是首次将记录在案的现实世界云HSM和TPM失效事件综合为一个基于现代威胁模型的连贯分类体系。本文的研究不仅揭示了云环境中硬件安全机制的脆弱性,还为未来防御技术的开发和应用提供了指导方向。

📄 中文摘要:
本文针对目标检测器上的对抗性补丁攻击防御问题进行了深入研究,指出当前防御评估缺乏统一且全面的框架,导致现有方法的评估不一致且不完整。为解决这一问题,作者重新审视了11种代表性防御方法,并提出了首个补丁防御基准测试,涵盖2种攻击目标、13种补丁攻击、11种目标检测器以及4种多样化评估指标。在此基础上,构建了一个大规模对抗性补丁数据集,包含94种补丁类型和94,000张图像。通过全面分析,作者揭示了以下新见解:首先,防御自然补丁的难度在于数据分布,而非通常认为的高频特性。基于多样化补丁分布的新数据集可将现有防御方法的平均精度(AP@0.5)提升15.09%。其次,被攻击目标的平均精度,而非通常追求的补丁检测准确率,与防御性能表现出高度一致性。最后,自适应攻击能够显著绕过现有防御,而具有复杂/随机模型或通用补丁属性的防御方法相对更具鲁棒性。作者希望这些分析能为正确评估补丁攻击与防御提供指导,并推动相关设计的发展。代码和数据集已公开,并将持续整合新的攻击与防御方法。

📄 中文摘要:
本研究探讨了在高维棋盘上放置不同棋子时安全格子(未被攻击的格子)比例的问题,扩展了经典的n皇后问题。n皇后问题关注在n×n棋盘上放置n个皇后时安全格子的最大数量,但答案仅对小n值已知。Miller、Sheng和Turek曾研究随机放置n个车的情况,证明安全格子比例趋近于1/e^2。本文将这一问题推广到k维棋盘上,分析了随机放置n个超车(hyper-rooks)和n^(k-1)个线车(line-rooks)的情况,利用组合和概率方法证明安全格子比例趋近于1/e^k。此外,研究还考虑了二维棋盘上象(bishop)的情况,证明安全格子比例趋近于2/e^2,并指出象的攻击范围随位置变化使得问题更具挑战性。进一步,研究扩展到k维棋盘,定义了线象(line-bishops)和超象(hyper-bishops),分别沿二维对角线和k-1维子空间的对角线攻击。最后,结合车和象的移动方式,研究了二维棋盘上的后(queen)以及k维棋盘上的线后(line-queens)和超后(hyper-queens)的安全格子比例问题。本文通过严谨的数学推导和概率分析,为高维棋盘上的棋子放置问题提供了新的理论框架和重要结果。