这项工作扩展了遗传指纹欺骗的先前进步，并引入了多样性和新颖的大师。该系统使用质量多样性进化算法来生成人造印刷的字典，重点是增加数据集对用户的覆盖范围。多样性大师图的重点是生成与以前发现的印刷品未涵盖的用户匹配的解决方案印刷品，而新颖的主版印刷明确地搜索了与以前的印刷品相比，在用户空间中更多的印刷品。我们的多印刷搜索方法在覆盖范围和概括方面都优于奇异的深层印刷，同时保持指纹图像输出的质量。

A master face is a face image that passes face-based identity authentication for a high percentage of the population. These faces can be used to impersonate, with a high probability of success, any user, without having access to any user information. We optimize these faces for 2D and 3D face verification models, by using an evolutionary algorithm in the latent embedding space of the StyleGAN face generator. For 2D face verification, multiple evolutionary strategies are compared, and we propose a novel approach that employs a neural network to direct the search toward promising samples, without adding fitness evaluations. The results we present demonstrate that it is possible to obtain a considerable coverage of the identities in the LFW or RFW datasets with less than 10 master faces, for six leading deep face recognition systems. In 3D, we generate faces using the 2D StyleGAN2 generator and predict a 3D structure using a deep 3D face reconstruction network. When employing two different 3D face recognition systems, we are able to obtain a coverage of 40%-50%. Additionally, we present the generation of paired 2D RGB and 3D master faces, which simultaneously match 2D and 3D models with high impersonation rates.

In this paper, we propose dictionary attacks against speaker verification - a novel attack vector that aims to match a large fraction of speaker population by chance. We introduce a generic formulation of the attack that can be used with various speech representations and threat models. The attacker uses adversarial optimization to maximize raw similarity of speaker embeddings between a seed speech sample and a proxy population. The resulting master voice successfully matches a non-trivial fraction of people in an unknown population. Adversarial waveforms obtained with our approach can match on average 69% of females and 38% of males enrolled in the target system at a strict decision threshold calibrated to yield false alarm rate of 1%. By using the attack with a black-box voice cloning system, we obtain master voices that are effective in the most challenging conditions and transferable between speaker encoders. We also show that, combined with multiple attempts, this attack opens even more to serious issues on the security of these systems.

本文提出了一个程序性内容发生器，该发生器根据新颖性的开放式和内在的定义来发展Minecraft建筑物。为了实现这一目标，我们使用3D自动编码器评估了个体在潜在空间中的新颖性，并在勘探和转型阶段之间进行了交替。在探索过程中，系统通过在潜在空间（由当前自动编码器定义）中的CPPN - 纳特搜索和约束新颖性搜索进化了CPPN的多个种群。我们应用一组维修和约束功能，以确保候选人在进化过程中遵守基本的结构规则和约束。在转换过程中，我们通过使用新颖的内容来重新验证自动编码器，重塑潜在空间的边界，以识别解决方案空间的新有趣区域。在这项研究中，我们评估了在转型过程中训练自动编码器的五种不同方法及其对人群进化过程中人群质量和多样性的影响。我们的结果表明，与静态模型相比，通过重新训练自动编码器，我们可以实现更好的开放式复杂性，当使用具有多种复杂性的个体的较大数据集进行重新训练时，该模型可以进一步改进。

密码的安全性取决于对攻击者使用的策略的彻底理解。不幸的是，现实世界中的对手使用务实的猜测策略，例如字典攻击，在密码安全研究中很难模拟。字典攻击必须仔细配置和修改以表示实际威胁。但是，这种方法需要难以复制的特定领域知识和专业知识。本文回顾了各种基于深度学习的密码猜测方法，这些方法不需要域知识或有关用户密码结构和组合的假设。它还引入了GNPASSGAN，这是一种基于生成对抗网络的密码猜测工具，用于拖动离线攻击。与最先进的盘子型号相比，Gnpassgan能够猜测88.03 \％的密码更多，并生成31.69 \％的重复。

在指纹识别领域工作的研究人员的主要障碍是缺乏公开的，大规模的指纹数据集。确实存在的公开数据集包含每个手指的少数身份和印象。这限制了关于许多主题的研究，包括例如，使用深网络来学习固定长度指纹嵌入。因此，我们提出了Printsgan，一种能够产生独特指纹的合成指纹发生器以及给定指纹的多个印象。使用Printsgan，我们合成525,000个指纹的数据库（35,000个不同的手指，每次有15个印象）。接下来，我们通过训练深网络来提取来自指纹的固定长度嵌入的固定长度来显示Printsgan生成的数据集的实用程序。特别是，对我们的合成指纹培训并进行微调的嵌入式模型和在NIST SD302的25,000个印刷品上进行微调）在NIST SD4数据库上获得87.03％的焦点为87.03％（一个升压）当仅在NIST SD302上培训时，来自Tar = 73.37％）。普遍的合成指纹产生方法不会使I）缺乏现实主义或ii）无法产生多个印象。我们计划向公众释放我们的合成指纹数据库。

基准套件提供了对进化算法解决问题能力的有用度量，但是组成问题通常太复杂了，无法清洁算法的优势和劣势。在这里，我们介绍了基准套件档案（``进化运行中的选择方案的诊断概述''），以实证分析有关剥削和探索重要方面的选择方案。利用从根本上是攀岩，但我们考虑两种情况：纯剥削，可以独立优化表示形式中的每个位置，并且受到限制的利用，在该位置之间，由于位置之间的相互作用，向上进展更加有限。当优化路径不太清楚时，需要探索；我们认为能够遵循多个独立的爬山途径和跨健身山谷的能力。这些场景的每种组合都会产生独特的适应性景观，有助于表征与给定选择方案相关的进化动力学。我们分析了六个流行的选择方案。锦标赛的选择和截断选择都在剥削指标方面表现出色，但在需要探索时表现不佳；相反，新颖的搜索在探索方面表现出色，但未能利用梯度。在克服欺骗时，健身共享表现良好，但在所有其他诊断方面都很差。非主导的分类是维持由居住在多个Optima居住的个体组成的不同人群的最佳选择，但努力有效利用梯度。词汇酶选择平衡搜索空间探索而不牺牲剥削，通常在诊断方面表现良好。我们的工作证明了诊断对快速建立对选择方案特征的直观理解的价值，然后可以将其用于改进或开发新的选择方法。

The vulnerabilities of fingerprint-based recognition systems to direct attacks with and without the cooperation of the user are studied. Two different systems, one minutiae-based and one ridge feature-based, are evaluated on a database of real and fake fingerprints. Based on the fingerprint images quality and on the results achieved on different operational scenarios, we obtain a number of statistically significant observations regarding the robustness of the systems.

生成的对抗网络（GANS）是一种强大的间接基因型对表型绘图，用于进化搜索。以前的工作适用于级别的工作侧重于固定尺寸的段，组合成一个整个级别，但各个段可能不会融合在一起。相反，人类设计水平中的段通常是直接或有变化的重复，并且组织成模式（塞尔达传奇的1级的对称鹰，或超级马里奥兄弟中的反复管道图案）。可以使用组成模式产生网络（CPPN）来生产这些模式。 CPPNS定义潜在的向量GaN输入作为几何形状的函数，将GaN输出的段组织成完整级别。然而，潜伏向量的集合也可以直接演化，产生更多的混乱水平。我们提出了一种混合方法，首先发展CPPNS，但允许潜在的向量以后，以便结合两种方法的益处。这些方法在超级马里奥兄弟和塞尔达的传说中进行了评估。我们之前通过发出的搜索（Map-Elites）来展示CPPNS比直接演变的水平更好地覆盖可能的水平的空间。在这里，我们表明，混合方法（1）涵盖了其他方法可以和（2）均可实现的QD分数相当或更高的QD分数。

在生成模型的背景下，近年来，文本到图像生成取得了令人印象深刻的结果。提出了使用不同方法的模型，并在大量的文本和图像对数据集中进行了培训。但是，某些方法依赖于预训练的模型，例如生成对抗网络，通过使用基于梯度的方法来更新潜在矢量的生成模型的潜在空间，并依赖于余弦功能（例如余弦功能）。在这项工作中，我们通过提出使用协方差矩阵适应演化策略来探索生成对手网络的潜在空间，从而遵循不同的方向。我们将这种方法与使用亚当和混合策略的方法进行了比较。我们设计了一项实验研究，以使用不同的文本输入来比较三种方法，通过根据所得样品的投影调整评估方法来比较图像生成，以检查分布的多样性。结果证明，进化方法在样品的产生中获得了更多的多样性，从而探索了所得网格的不同区域。此外，我们表明混合方法结合了基于梯度和进化方法的探索区域，利用结果的质量。

基于搜索的程序内容生成（PCG）是一种众所周知的方法，用于游戏中的水平生成。它的主要优势是它是通用且能够满足功能约束的能力。但是，由于在线运行这些算法的大量计算成本，因此很少将基于搜索的PCG用于实时生成。在本文中，我们使用机器学习介绍了一种新型的迭代级生成器。我们训练模型以模仿进化过程，并使用模型生成水平。该训练有素的模型能够顺序修改嘈杂的水平，以创建更好的水平，而无需在推理过程中使用健身函数。我们在2D迷宫生成任务上评估了训练有素的模型。我们比较了该方法的几个不同版本：在进化结束时训练模型或每100代（辅助进化），并在进化过程中使用模型作为突变函数。使用辅助进化过程，最终训练的模型能够以99％的成功率产生迷宫，高度多样性为86％。这项工作为以进化过程为指导的一种新的学习水平生成器打开了大门，并可能会增加游戏行业中基于搜索的PCG的采用。

Recent research has revealed that the output of Deep Neural Networks (DNN) can be easily altered by adding relatively small perturbations to the input vector. In this paper, we analyze an attack in an extremely limited scenario where only one pixel can be modified. For that we propose a novel method for generating one-pixel adversarial perturbations based on differential evolution (DE). It requires less adversarial information (a blackbox attack) and can fool more types of networks due to the inherent features of DE. The results show that 67.97% of the natural images in Kaggle CIFAR-10 test dataset and 16.04% of the ImageNet (ILSVRC 2012) test images can be perturbed to at least one target class by modifying just one pixel with 74.03% and 22.91% confidence on average. We also show the same vulnerability on the original CIFAR-10 dataset. Thus, the proposed attack explores a different take on adversarial machine learning in an extreme limited scenario, showing that current DNNs are also vulnerable to such low dimension attacks. Besides, we also illustrate an important application of DE (or broadly speaking, evolutionary computation) in the domain of adversarial machine learning: creating tools that can effectively generate lowcost adversarial attacks against neural networks for evaluating robustness.

Although query-based systems (QBS) have become one of the main solutions to share data anonymously, building QBSes that robustly protect the privacy of individuals contributing to the dataset is a hard problem. Theoretical solutions relying on differential privacy guarantees are difficult to implement correctly with reasonable accuracy, while ad-hoc solutions might contain unknown vulnerabilities. Evaluating the privacy provided by QBSes must thus be done by evaluating the accuracy of a wide range of privacy attacks. However, existing attacks require time and expertise to develop, need to be manually tailored to the specific systems attacked, and are limited in scope. In this paper, we develop QuerySnout (QS), the first method to automatically discover vulnerabilities in QBSes. QS takes as input a target record and the QBS as a black box, analyzes its behavior on one or more datasets, and outputs a multiset of queries together with a rule to combine answers to them in order to reveal the sensitive attribute of the target record. QS uses evolutionary search techniques based on a novel mutation operator to find a multiset of queries susceptible to lead to an attack, and a machine learning classifier to infer the sensitive attribute from answers to the queries selected. We showcase the versatility of QS by applying it to two attack scenarios, three real-world datasets, and a variety of protection mechanisms. We show the attacks found by QS to consistently equate or outperform, sometimes by a large margin, the best attacks from the literature. We finally show how QS can be extended to QBSes that require a budget, and apply QS to a simple QBS based on the Laplace mechanism. Taken together, our results show how powerful and accurate attacks against QBSes can already be found by an automated system, allowing for highly complex QBSes to be automatically tested "at the pressing of a button".

本文介绍了Aesthetic Bot的实现，这是一个自动化的Twitter帐户，该帐户发布了用户制造或从进化系统生成的小型游戏地图的图像。然后，该机器人提示用户通过图像线程中发布的民意调查进行投票，以获取最令人愉悦的地图。这创建了一个评级系统，该系统允许以无缝集成到用户定期更新的Twitter内容fef中的方式直接与机器人进行交互。在每次投票回合结束时，该机器人从每张地图的投票分布中学习，以模仿设计和视觉美学的用户偏好，以生成将赢得未来投票配对的地图。我们讨论了自机器人生成游戏地图和参与的Twitter用户发布以来发生的持续结果和新兴行为。

密码的安全性取决于对攻击者使用的策略的透彻理解。不幸的是，现实世界中的对手使用务实的猜测策略，例如字典攻击，在密码安全研究中很难模拟。字典攻击必须仔细配置和修改，以代表实际威胁。但是，这种方法需要难以复制的特定领域知识和专业知识。本文比较了不需要域知识或对用户密码结构和组合的假设的各种基于深度学习的密码猜测方法。所涉及的模型类别是复发性神经网络，生成对抗网络，自动编码器和注意机制。此外，我们提出了一种有前途的研究实验设计，以使用IWGAN的变体在非针对性的离线攻击下进行密码猜测。使用这些高级策略，我们可以增强密码安全性并创建更准确，更有效的密码强度计。

最近，我们强调了一个基本问题，该问题被认为是混淆算法优化的，即\ textit {Confing}与目标函数的目标。即使前者的定义很好，后者也可能并不明显，例如，在学习一种策略来导航迷宫以找到目标（客观）时，有效的目标函数\ textit {评估}策略可能不是一个简单的功能到目标的距离。我们建议自动化可能发现良好的目标功能的手段 - 此处得到的建议。我们提出\ textbf {s} iolution \ textbf {a} nd \ textbf {f} itness \ textbf {e} volution（\ textbf {safe}），a \ textit {comensalistic} coovolutionary algorithm候选解决方案和一系列候选目标功能。作为此概念原理的证明，我们表明安全不仅成功地发展了机器人迷宫领域内的解决方案，而且还可以在进化过程中衡量解决方案质量所需的目标函数。

指纹证据在识别个人的刑事调查中起着重要作用。尽管已经提出了各种指纹分类和特征提取的技术，但指纹的自动指纹识别仍处于最早的阶段。传统\ textIt {自动指纹识别系统}（AFIS）的性能取决于有效的小小的点，并且仍然需要人类的专家协助在功能提取和识别阶段。基于这种动机，我们提出了一种基于生成对抗网络和一声学习技术（FIGO）的指纹识别方法。我们的解决方案包含两个组件：指纹增强层和指纹识别层。首先，我们提出了一个PIX2PIX模型，将低质量的指纹图像转换为直接在指纹增强层中的Pixel的高水平的指纹图像像素。通过提出的增强算法，指纹识别模型的性能得到了显着提高。此外，我们通过观察指纹设备的识别精度来开发基于Gabor过滤器的另一种现有解决方案，作为与建议模型进行比较的基准。实验结果表明，我们提出的PIX2PIX模型比指纹识别的基线方法具有更好的支持。其次，我们使用单次学习方法在指纹识别过程中构建一个完全自动化的指纹特征提取模型。两个具有共享权重和参数的双卷积神经网络（CNN）用于在此过程中获得特征向量。使用提出的方法，我们证明只能以高精度从一个培训样本中学习必要的信息。

野火是一种高度普遍的多毒环境现象。这种现象的影响包括人类损失，环境破坏和高昂的经济成本。为了减轻这些效果，已经开发了几个计算机模拟系统，以根据一组输入参数预测火灾行为，也称为场景（风速和方向；温度；等）。但是，由于未知的变量值的不确定性，模拟的结果通常具有高度的误差，因为它们尚不清楚，或者由于其测量可能是不精确，错误或无法实时执行的。先前的工作提出了多种结果的组合，以减少这种不确定性。最先进的方法基于并行优化策略，该策略使用健身函数来指导所有可能场景之间的搜索。尽管这些方法显示了预测质量的改善，但它们具有与用于选择场景的算法有关的一些局限性。为了克服这些局限性，在这项工作中，我们建议应用新颖性搜索范式，该范围取代了目标函数的量度，以衡量所找到的解决方案的新颖性，这使搜索可以与彼此不同的行为不断生成解决方案。这种方法避免了本地Optima，并且可能能够找到有用的解决方案，而其他算法很难或无法找到。与现有方法一样，该提案也可以适用于其他传播模型（洪水，雪崩或滑坡）。

为了解决不平衡分类任务中生成图像的质量多样性的权衡问题，我们研究了功能级别的基于过度采样的方法，而不是数据级别，并专注于搜索潜在功能空间以进行最佳分布。在此基础上，我们提出了改进的基于潜在特征分布演化（MEDA_LUDE）算法的改进的估计分布算法，其中对联合学习程序进行了编程，以使深神经网络和进化算法分别优化和进化。我们探讨了大利润度高斯混合物（L-GM）损失功能对分配学习和设计基于样品之间相似性以增加多样性的专业健身函数的影响。基于基准的不平衡数据集的广泛实验验证了我们提出的算法的有效性，该算法可以生成具有质量和多样性的图像。此外，MEDA_LUDE算法还应用于工业领域，并成功地减轻了织物缺陷分类中的不平衡问题。

Existing integrity verification approaches for deep models are designed for private verification (i.e., assuming the service provider is honest, with white-box access to model parameters). However, private verification approaches do not allow model users to verify the model at run-time. Instead, they must trust the service provider, who may tamper with the verification results. In contrast, a public verification approach that considers the possibility of dishonest service providers can benefit a wider range of users. In this paper, we propose PublicCheck, a practical public integrity verification solution for services of run-time deep models. PublicCheck considers dishonest service providers, and overcomes public verification challenges of being lightweight, providing anti-counterfeiting protection, and having fingerprinting samples that appear smooth. To capture and fingerprint the inherent prediction behaviors of a run-time model, PublicCheck generates smoothly transformed and augmented encysted samples that are enclosed around the model's decision boundary while ensuring that the verification queries are indistinguishable from normal queries. PublicCheck is also applicable when knowledge of the target model is limited (e.g., with no knowledge of gradients or model parameters). A thorough evaluation of PublicCheck demonstrates the strong capability for model integrity breach detection (100% detection accuracy with less than 10 black-box API queries) against various model integrity attacks and model compression attacks. PublicCheck also demonstrates the smooth appearance, feasibility, and efficiency of generating a plethora of encysted samples for fingerprinting.