CN109376556B - 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 - Google Patents
一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 Download PDFInfo
- Publication number
- CN109376556B CN109376556B CN201811543220.3A CN201811543220A CN109376556B CN 109376556 B CN109376556 B CN 109376556B CN 201811543220 A CN201811543220 A CN 201811543220A CN 109376556 B CN109376556 B CN 109376556B
- Authority
- CN
- China
- Prior art keywords
- box
- attack
- sample
- eeg brain
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000013527 convolutional neural network Methods 0.000 title claims abstract description 34
- 210000004556 brain Anatomy 0.000 claims abstract description 45
- 238000012360 testing method Methods 0.000 claims abstract description 20
- 235000000332 black box Nutrition 0.000 claims abstract description 11
- 238000012549 training Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 5
- 238000002372 labelling Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 4
- 238000005070 sampling Methods 0.000 claims description 4
- 238000006467 substitution reaction Methods 0.000 claims description 4
- 230000003042 antagnostic effect Effects 0.000 claims 3
- 238000011076 safety test Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 5
- 238000005457 optimization Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- JXASPPWQHFOWPL-UHFFFAOYSA-N Tamarixin Natural products C1=C(O)C(OC)=CC=C1C1=C(OC2C(C(O)C(O)C(CO)O2)O)C(=O)C2=C(O)C=C(O)C=C2O1 JXASPPWQHFOWPL-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 210000003710 cerebral cortex Anatomy 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/011—Arrangements for interaction with the human body, e.g. for user immersion in virtual reality
- G06F3/015—Input arrangements based on nervous system activity detection, e.g. brain waves [EEG] detection, electromyograms [EMG] detection, electrodermal response detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Dermatology (AREA)
- General Health & Medical Sciences (AREA)
- Neurology (AREA)
- Neurosurgery (AREA)
- Human Computer Interaction (AREA)
- Measurement And Recording Of Electrical Phenomena And Electrical Characteristics Of The Living Body (AREA)
Abstract
本发明公开了一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法,包括:使用白盒攻击构造EEG脑机信号的白盒对抗样本,使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,使用黑盒攻击构造EEG脑机信号的黑盒对抗样本;分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络。本发明针对不同的攻击情形提供了三种的攻击方法,三种攻击方式都不需要提前知道EEG脑电样本的真值标签,更加适用于脑机接口的应用场景,弥补了脑机接口针对对抗样本缺乏安全性测试的空白,保证了其有效性与实用性,使得其能够成为一种较好的测试EEG脑机接口系统鲁棒性的方法。
Description
技术领域
本发明属于脑机接口安全技术领域,更具体地,涉及一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法。
背景技术
脑机接口是一种人脑与外界(计算机或其他外部装置)直接进行通信的系统。而脑电图(electroencephalogram,EEG)脑机接口系统是指通过脑电帽上的电极采集人大脑皮层的脑电信号,然后对脑电信号进行解析,从而判断出大脑的状态或意念,进而通过脑电信号控制外部设备的系统。卷积神经网络是深度学习中的一种基础模型,近年来被广泛应用于图像、语音、自然语言处理等多个领域。鉴于卷积神经网络不依赖于手工特征的特性以及在任务中展现出的较好性能,研究人员开发出了多种针对EEG脑机接口系统的卷积神经网络模型,并且验证了其在多个任务中均具有良好的表现。
目前,卷积神经网络应用中遇到的主要挑战之一便是对抗样本的存在,即在原始样本上加上精心设计的微小噪声便可使得神经网络结果产生巨大的变化,这极大限制了卷积神经网络的应用。所以,使用更加具有威胁性的对抗攻击方式(即产生对抗样本的方法)攻击卷积神经网络模型从而测试模型系统的鲁棒性便显得尤其重要。C.Szegedy等人提出了一种基于优化的对抗攻击方法,通过将原始样本与对抗样本的距离以及模型输出正确的误差作为目标函数进行最小化优化,从而找到使得模型输出错误的最小噪声扰动。其采取了优化的方式产生对抗样本,具有较高的攻击成功率,然而以此产生的对抗样本具有较弱的迁移性,即很难使得另一个不同的模型产生同样的分类错误,并且该攻击方法由于需要优化算法进行优化从而具有较低的效率,同时该方法在攻击过程中需要知道样本的真实标签,这在实际情况中很难满足。I.J.Goodfellow等人提出了一种基于误差梯度的对抗攻击方法,在对卷积神经网络模型的误差函数进行一阶近似的情况下,通过沿着误差梯度的符号方向对输入样本进行微小的扰动,使得模型输出结果发生巨大变化。其攻击效率极高,然而也需要原始标签的支持从而使得不能较好应用于实际情形。N.Papernot等人提出了一种黑盒攻击的方法,即在模型结构参数未知的情况下通过训练一个替代模型来产生对抗样本从而对原始模型进行攻击。其能够进行黑盒攻击,然而该方法并没有针对EEG脑机接口进行特性化设计,从而不能很好的应用于EEG脑机接口系统中。
发明内容
针对现有技术的缺陷,本发明的目的在于解决当前EEG脑机接口系统中没有一个较好的攻击方法来测试不同情况下其内部的卷积神经网络鲁棒性的技术问题。
为实现上述目的,第一方面,本发明实施例提供了一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法,该方法包括以下步骤:
S1.使用白盒攻击构造EEG脑机信号的白盒对抗样本,使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,使用黑盒攻击构造EEG脑机信号的黑盒对抗样本;
S2.分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络。
具体地,所述使用白盒攻击构造EEG脑机信号的白盒对抗样本,包括以下子步骤:
(1)输入真值标签y未知的EEG脑机信号测试样本x;
(2)将测试样本x输入目标模型f中,得到测试样本x对应的预测标签y′=f(x);
(3)使用预测标签y′代替真值标签y;
(4)构造EEG脑机信号的对抗样本x*
其中,
表示Jf(x,y′)对x的导数,ε为单个采样点最大扰动限制,g(x)为产生对抗样本的模块。
具体地,单个采样点最大扰动限制ε通过人为设定,取值范围为0.01-0.3。
具体地,所述使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,具体包括以下子步骤:
(1)选择一个替代的卷积神经网络模型f'(x);
(2)使用目标模型f(x)的训练集,训练替代模型f'(x);
(3)对训练好的替代模型f'(x)进行白盒攻击,产生对抗样本x*。
具体地,所述使用黑盒攻击构造EEG脑机信号的黑盒对抗样本,包括以下子步骤:
(1)任意采集n个真值标签未知的EEG脑机信号样本xi,构成初始样本集合S0={xi},i=1,2,…n,并选择一个替代的卷积神经网络模型f'(x);
(2)使用目标模型f(x)对集合S0中每个样本xi进行标注,得到训练集D={(xi,f(xi))};
(3)用训练集D训练替代模型f'(x);
(4)用当前替代模型f'(x)增加新的EEG脑机信号样本,产生新的样本集合S0=S0∪ΔS,其中,
λ为搜索新的需要查询的样本的步长;
(5)重复步骤(2)-(4),直至达到设定迭代次数,得到训练好的替代模型f'(x);
(6)对训练好的替代模型f'(x)进行白盒攻击,产生对抗样本x*。
具体地,搜索新的需要查询的样本的步长λ取值范围为0.1-1。
具体地,设定迭代次数取值范围为3-5。
第二方面,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述第一方面所述的攻击方法。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有以下有益效果:
本发明针对不同的攻击情形提供了三种的攻击方法,三种攻击方式都不需要提前知道EEG脑电样本的真值标签,更加适用于脑机接口的应用场景,填补了脑机接口针对对抗样本缺乏安全性测试的空白,保证了其有效性与实用性,使得其能够成为一种较好的测试EEG脑机接口系统鲁棒性的方法。
附图说明
图1为本发明实施例提供的一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法流程图;
图2为本发明实施例针对白盒攻击的对抗样本构造示意图;
图3为本发明实施例针对灰盒攻击的对抗样本构造示意图;
图4为本发明实施例针对黑盒攻击的对抗样本构造示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明通过对EEG脑机接口中卷积神经网络模型注入对抗样本,提出了一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法,从而使得系统最终输出错误结果。本发明将EEG脑机接口中训练好的卷积神经网络模型为目标模型,针对攻击者对目标模型不同程度上的了解,分别提出了白盒攻击、灰盒攻击以及黑盒攻击,具体应用场景如下:
(1)若攻击者了解目标模型的所有设置以及参数,可采用白盒攻击。首先使用模型的输出替代真值输出标签,然后通过沿着误差梯度的符号方向对输入样本进行微小扰动。
(2)若攻击者只了解目标模型训练时使用的数据集,可采用灰盒攻击。首先攻击者随意选择一个替代的模型架构,然后在目标模型的训练集上训练该替代模型,然后采用白盒攻击的方式在替代模型上产生对抗样本并用其攻击目标模型。
(3)若攻击者对目标模型的设置以及数据集均不了解,但能够观察到目标模型对输入信号的输出,可采用黑盒攻击。首先使用目标模型对自定义的输入进行标注,然后使用这部分标注的训练集对替代模型进行训练,通过替代模型的训练情况构造下一组需要标注的样本输入进行标注,以此迭代。训练完替代模型之后,采用白盒攻击的方式在替代模型上产生对抗样本并用其攻击目标模型。
本发明提出的攻击策略针对EEG脑机接口中的卷积神经网络进行特殊设计,并且分别针对不同的应用场景设计了不同的攻击方式,从而使得其有较强的实用性。同时,在测试中发现本发明的攻击策略具有较好的攻击效果,能够作为实际使用中检测EEG脑机接口系统鲁棒性的测试方法。
如图1所示,一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法,该方法包括以下步骤:
S1.使用白盒攻击构造EEG脑机信号的白盒对抗样本,使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,使用黑盒攻击构造EEG脑机信号的黑盒对抗样本;
S2.分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络。
如图1所示,攻击者可以将噪声模块注入到信号预处理模块与卷积神经网络模型之间,即噪声模块在EEG脑机接口系统中的注入位置。该噪声模块可被视作EEG脑机接口的对抗样本产生器,其设计根据白盒攻击、灰盒攻击以及黑盒攻击会有所不同。从而对神经网络的输入进行轻微的精心设计的扰动,最终造成模型的分类错误。
x为EEG脑机信号的测试样本,y为EEG脑机信号的测试样本x对应的真值标签,单个采样点最大扰动限制ε通过人为设定,在保证攻击效果的前提下应尽可能小,取值范围通常为0.01-0.3,优选为0.1。g(x)为噪声模块,x*为对抗样本。假设被攻击的目标模型为f(x),使用的预测标签y′与真值标签y之间的误差函数为Jf(x,y)。
本发明使用的误差函数为
或者交叉熵误差Jf(x,y)=ylnf(x)。
如图2所示,白盒攻击过程中,由于攻击者并不知道EEG脑机信号的测试样本x对应的真值标签y,所以,先用目标模型的输出f(x)替代真值输出标签y,然后通过对误差函数的梯度上升的符号获得扰动的方向,进而产生对抗样本。由于并未使用到真值标签,所以该白盒攻击方法为一种非监督的攻击方法。所述使用白盒攻击构造EEG脑机信号的白盒对抗样本,包括以下子步骤:
(1)输入真值标签y未知的EEG脑机信号测试样本x;
(2)将测试样本x输入目标模型f中,得到测试样本x对应的预测标签y′=f(x);
(3)使用预测标签y′代替真值标签y;
(4)构造EEG脑机信号的对抗样本x*
其中,
表示Jf(x,y′)对x的导数。
对于EEG脑机信号的测试集中的每个测试样本,进行步骤(1)-(4),在得到其对应的对抗样本后x*,使用对抗样本攻击f(x)。
在目标模型完全透明的情况下,可以使得脑机接口中的卷积神经网络分类产生大量的错误,从而测试了脑机接口系统完全透明情况下的鲁棒性。
如图3所示,灰盒攻击大体与白盒攻击方式一致,不同之处在于:攻击者不知道目标模型f(x),只知道其使用的训练集。因此,先使用目标模型的训练数据训练一个替代模型f'(x),然后在替代模型上使用白盒攻击构建对抗样本,并用其攻击目标模型f(x)。所述使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,具体包括以下子步骤:
(1)选择一个替代的卷积神经网络模型f'(x);
(2)使用目标模型f(x)的训练集,训练替代模型f'(x);
(3)对训练好的替代模型f'(x)进行白盒攻击,产生对抗样本x*。
在只了解目标模型的训练数据集的情况下,可以使得脑机接口中的卷积神经网络分类产生大量的错误,从而测试了脑机接口系统在训练数据集暴露情况下的鲁棒性。
如图4所示,黑盒攻击过程中,攻击者对目标模型的设置以及数据集均不了解。因此,攻击者自己先指定EEG脑机信号的初始样本集合,这些样本的真值标签未知,λ为搜索新的需要查询的样本的步长,取值范围为0.1-1,优选0.5。所述使用黑盒攻击构造EEG脑机信号的黑盒对抗样本,包括以下子步骤:
(1)任意采集n个真值标签未知的EEG脑机信号样本xi,构成初始样本集合S0={xi},i=1,2,…n,并选择一个替代的卷积神经网络模型f'(x);
(2)使用目标模型f(x)对集合S0中每个样本xi进行标注,得到训练集D={(xi,f(xi))};
(3)用训练集D训练替代模型f'(x);
(4)用当前替代模型f'(x)增加新的EEG脑机信号样本,产生新的样本集合S0=S0∪ΔS,其中,
(5)重复步骤(2)-(4),直至达到设定迭代次数,从而得到训练好的替代模型f'(x);
(6)对训练好的替代模型f'(x)进行白盒攻击,产生对抗样本x*。
设定迭代次数取值范围为3-5。
在对目标模型的设置以及数据集均不了解,但能够观察目标模型针对特定输入产生的输出的情况下,可以使得脑机接口中的卷积神经网络分类产生错误,从而测试了脑机接口系统在完全保密的情况下的鲁棒性。
表1为在不同EEG数据集上针对目标模型神经网络EEGNet的各种攻击方法的效果。其中,灰盒攻击和黑盒攻击中使用的替代模型均为另外一种不同的EEG神经网络DeepCNN。如表1所示,如果加入扰动之后的准确率远低于原测试集的准确率,表明设计的对抗样本有效。
| 脑电数据集 | 运动想象 | P300 | ERN |
| 原始准确率 | 0.4667 | 0.7080 | 0.6958 |
| 白盒攻击准确率 | 0.2218 | 0.3042 | 0.2943 |
| 灰盒攻击准确率 | 0.2334 | 0.3211 | 0.2996 |
| 黑盒攻击准确率 | 0.2875 | 0.3692 | 0.3028 |
表1
以上,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种针对以卷积神经网络为基础的EEG脑机接口的攻击方法,其特征在于,该方法包括以下步骤:
S1.使用白盒攻击构造EEG脑机信号的白盒对抗样本,使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,使用黑盒攻击构造EEG脑机信号的黑盒对抗样本;
S2.分别使用EEG脑机信号的白盒对抗样本、灰盒对抗样本、黑盒对抗样本攻击EEG脑机接口的卷积神经网络;
所述使用黑盒攻击构造EEG脑机信号的黑盒对抗样本,包括以下子步骤:
(1)任意采集n个真值标签未知的EEG脑机信号样本xi,构成初始样本集合S0={xi},i=1,2,…,n,并选择一个替代的卷积神经网络模型f′(x);
(2)使用目标模型f(x)对集合S0中每个样本xi进行标注,得到训练集D={(xi,f(xi))};
(3)用训练集D训练替代模型f′(x);
(4)用当前替代模型f′(x)增加新的EEG脑机信号样本,产生新的样本集合S0=S0∪ΔS,其中,
(5)重复步骤(2)-(4),直至达到设定迭代次数,得到训练好的替代模型f′(x);
(6)对训练好的替代模型f′(x)进行白盒攻击,产生对抗样本x*。
2.如权利要求1所述的攻击方法,其特征在于,所述使用白盒攻击构造EEG脑机信号的白盒对抗样本,包括以下子步骤:
(1)输入真值标签y未知的EEG脑机信号测试样本x;
(2)将测试样本x输入目标模型f中,得到测试样本x对应的预测标签y′=f(x);
(3)使用预测标签y′代替真值标签y;
(4)构造EEG脑机信号的对抗样本x*
其中,
表示Jf(x,y′)对x的导数,Jf(x,y′)表示被攻击的目标模型为f(x),使用的预测标签y′与真值标签y之间的误差函数,ε为单个采样点最大扰动限制,g(x)为产生对抗样本的模块。
3.如权利要求2所述的攻击方法,其特征在于,单个采样点最大扰动限制ε通过人为设定,取值范围为0.01-0.3。
4.如权利要求2所述的攻击方法,其特征在于,所述使用灰盒攻击构造EEG脑机信号的灰盒对抗样本,具体包括以下子步骤:
(1)选择一个替代的卷积神经网络模型f′(x);
(2)使用目标模型f(x)的训练集,训练替代模型f′(x);
(3)对训练好的替代模型f′(x)进行白盒攻击,产生对抗样本x*。
5.如权利要求1所述的攻击方法,其特征在于,搜索新的需要查询的样本的步长λ取值范围为0.1-1。
6.如权利要求1所述的攻击方法,其特征在于,设定迭代次数取值范围为3-5。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的攻击方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811543220.3A CN109376556B (zh) | 2018-12-17 | 2018-12-17 | 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811543220.3A CN109376556B (zh) | 2018-12-17 | 2018-12-17 | 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109376556A CN109376556A (zh) | 2019-02-22 |
| CN109376556B true CN109376556B (zh) | 2020-12-18 |
Family
ID=65374217
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811543220.3A Active CN109376556B (zh) | 2018-12-17 | 2018-12-17 | 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109376556B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10929719B2 (en) * | 2019-03-28 | 2021-02-23 | GM Global Technology Operations LLC | Adversarial attack on black box object detection algorithm |
| CN110123342B (zh) * | 2019-04-17 | 2021-06-08 | 西北大学 | 一种基于脑电波的网瘾检测方法及系统 |
| CN110163163B (zh) * | 2019-05-24 | 2020-12-01 | 浙江工业大学 | 一种针对单张人脸查询次数受限攻击的防御方法及防御装置 |
| CN110764958B (zh) * | 2019-09-24 | 2020-09-18 | 华中科技大学 | 一种基于eeg的脑机接口回归系统白盒目标攻击方法 |
| CN110837637B (zh) * | 2019-10-16 | 2022-02-15 | 华中科技大学 | 一种脑机接口系统黑盒攻击方法 |
| CN111046755A (zh) * | 2019-11-27 | 2020-04-21 | 上海眼控科技股份有限公司 | 字符识别方法、装置、计算机设备和计算机可读存储介质 |
| CN112216273B (zh) * | 2020-10-30 | 2024-04-16 | 东南数字经济发展研究院 | 一种针对语音关键词分类网络的对抗样本攻击方法 |
| CN113407939B (zh) * | 2021-06-17 | 2022-08-05 | 电子科技大学 | 面向黑盒攻击的替代模型自动选取方法、存储介质及终端 |
| CN113298238B (zh) * | 2021-06-28 | 2023-06-20 | 上海观安信息技术股份有限公司 | 使用定向攻击探索黑盒神经网络的方法、装置、处理设备、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106296692A (zh) * | 2016-08-11 | 2017-01-04 | 深圳市未来媒体技术研究院 | 基于对抗网络的图像显著性检测方法 |
| CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
| CN108615048A (zh) * | 2018-04-04 | 2018-10-02 | 浙江工业大学 | 基于扰动进化对图像分类器对抗性攻击的防御方法 |
| CN108664999A (zh) * | 2018-05-03 | 2018-10-16 | 北京图森未来科技有限公司 | 一种分类模型的训练方法及其装置、计算机服务器 |
| CN108710892A (zh) * | 2018-04-04 | 2018-10-26 | 浙江工业大学 | 面向多种对抗图片攻击的协同免疫防御方法 |
-
2018
- 2018-12-17 CN CN201811543220.3A patent/CN109376556B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106296692A (zh) * | 2016-08-11 | 2017-01-04 | 深圳市未来媒体技术研究院 | 基于对抗网络的图像显著性检测方法 |
| CN108257116A (zh) * | 2017-12-30 | 2018-07-06 | 清华大学 | 一种生成对抗图像的方法 |
| CN108615048A (zh) * | 2018-04-04 | 2018-10-02 | 浙江工业大学 | 基于扰动进化对图像分类器对抗性攻击的防御方法 |
| CN108710892A (zh) * | 2018-04-04 | 2018-10-26 | 浙江工业大学 | 面向多种对抗图片攻击的协同免疫防御方法 |
| CN108664999A (zh) * | 2018-05-03 | 2018-10-16 | 北京图森未来科技有限公司 | 一种分类模型的训练方法及其装置、计算机服务器 |
Non-Patent Citations (1)
| Title |
|---|
| Ian J. Goodfellow等.《EXPLAINING AND HARNESSING ADVERSARIAL EXAMPLES》.《arXiv:1412.6572v3》.2015,第1-11页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109376556A (zh) | 2019-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109376556B (zh) | 一种针对以卷积神经网络为基础的eeg脑机接口的攻击方法 | |
| CN110276377B (zh) | 一种基于贝叶斯优化的对抗样本生成方法 | |
| CN110941794B (zh) | 一种基于通用逆扰动防御矩阵的对抗攻击防御方法 | |
| Pengcheng et al. | Query-efficient black-box attack by active learning | |
| Triastcyn et al. | Generating artificial data for private deep learning | |
| CN110837637B (zh) | 一种脑机接口系统黑盒攻击方法 | |
| CN113674140A (zh) | 一种物理对抗样本生成方法及系统 | |
| CN109444831B (zh) | 一种基于迁移学习的雷达干扰决策方法 | |
| CN111835707A (zh) | 一种基于改进后的支持向量机的恶意程序识别方法 | |
| CN114863226A (zh) | 一种网络物理系统入侵检测方法 | |
| CN115719085B (zh) | 一种深度神经网络模型反演攻击防御方法及设备 | |
| CN115051864B (zh) | 基于pca-mf-wnn的网络安全态势要素提取方法及系统 | |
| CN113269228A (zh) | 一种图网络分类模型的训练方法、装置、系统及电子设备 | |
| CN117201122A (zh) | 基于视图级图对比学习的无监督属性网络异常检测方法及系统 | |
| CN110764958B (zh) | 一种基于eeg的脑机接口回归系统白盒目标攻击方法 | |
| CN114511593A (zh) | 一种基于重要特征的视觉目标跟踪可转移黑盒攻击方法 | |
| CN118397351A (zh) | 一种小样本分类方法、系统、介质及设备 | |
| CN114693973A (zh) | 一种基于Transformer模型的黑盒对抗样本生成方法 | |
| Westbrook et al. | Adversarial attacks on machine learning in embedded and iot platforms | |
| CN113487506A (zh) | 基于注意力去噪的对抗样本防御方法、装置和系统 | |
| CN113392901A (zh) | 一种基于深度学习模型神经通路激活特征的对抗样本检测方法 | |
| CN109635738A (zh) | 一种图像特征提取方法及系统 | |
| KR102677908B1 (ko) | 데이터 셋에 대한 오라벨링의 제거 또는 재라벨링(re-labeling)을 수행 하는 방법 | |
| Zhang et al. | Perception-driven Imperceptible Adversarial Attack against Decision-based Black-box Models | |
| CN117134958B (zh) | 用于网络技术服务的信息处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220509 Address after: 100022 Beijing Fenghuo Wanjia Technology Co., Ltd., 501, 5 / F, building 10, yard 93, Jianguo Road, Chaoyang District, Beijing Patentee after: BEIJING FENGHUO WANJIA TECHNOLOGY Co.,Ltd. Address before: 430074 Hubei Province, Wuhan city Hongshan District Luoyu Road No. 1037 Patentee before: HUAZHONG University OF SCIENCE AND TECHNOLOGY |