Начнем со ссылки на статью На пути к оценке надежности нейронных сетей Карлини со страницы 2 последнего абзаца: противник имеет полный доступ к нейронной сети, включая архитектуру и всепараметры, и может использовать это в виде белого ящика. Это консервативное и реалистичное предположение: предыдущая работа показала, что можно обучить замещающую модель при наличии черного ящика для доступа к целевой модели и атаковатьвместо замещающей модели мы можем затем перенести эти атаки на целевую модель.
Выполнение следующих двух определений, как следует, верно:
White-Box: Злоумышленникам известны полные знания об алгоритме ML, модели ML (т. Е. Параметрах и гиперпараметрах), архитектуре и т. Д. На приведенном ниже рисунке показан пример работы атак белого ящика.:
Black-Box: Злоумышленники почти ничего не знают о системе ML (perhapзнать количество функций, алгоритм ML).На рисунке ниже показаны шаги в качестве примера:
Раздел 3.4. ДЕМОНСТРАЦИЯ ЧЕРНОГО КОРОБКИ НАБЛЮДЕНИЯ В ФИЗИЧЕСКОМ МИРЕ из бумаги НАЧАЛЬНЫЕ ПРИМЕРЫ ВФИЗИЧЕСКИЙ МИР от Kurakin, 2017 гласит следующее: В параграфе 1 на странице 9 описывается значение белого ящика: В описанных выше экспериментах изучаются физические противоборствующие примеры в предположении, что противник имеет полный доступ кмодель (т. е. противник знает архитектуру, вес модели и т. д.).
И следующее с объяснением значения черного ящика: ОднакоСценарий черного ящика, в котором злоумышленник не имеет доступа к модели, является более реалистичной моделью многих угроз безопасности.
Заключение: Чтобы определить/ label / классифицировать алгоритмы как белый / черный ящик, вы просто меняете настройки для модели.
Примечание: Я не классифицирую каждый алгоритм, потому что некоторые алгоритмы могут поддерживать только настройки белого ящика или только настройки черного ящика в умных людях библиотека, но это хорошее начало для вас (если вы проводите исследования, вам нужно проверить каждый документ, перечисленный в документации, чтобы понять GAN, чтобы вы могли генерировать на своих собственных состязательных примерах.
Используемые ресурсы и интересные статьи:
- ОсновнойИтеративный Метод: ОсновнойИтеративный Метод
- CarliniWagnerL2: CarliniWagnerL2
- FastGradientMethod: https://arxiv.org/pdf/1412.6572.pdf https://arxiv.org/pdf/1611.01236.pdf https://arxiv.org/pdf/1611.01236.pdf
- SalacityMapMethod: SalidityMapMethod
- VirtualAdversarialMethod: VirtualAdversarialMethod
- Метод быстрого градиента Fgsm: Метод быстрого знака градиента Fgsm
- Подход с использованием карты Ясмы на основе Jasma: JSMA в настройке белого ящика
- Виртуальная тренировка против Ватма: виртуальное состязательное обучение Vatm
- Машинное обучение в состязаниях - введение Слайды из: Binghui Wang
- mnist_blackbox
- mnist_tutorial_cw